2489362

Google Pay: So deaktivieren Sie Paypal als Bezahlart

26.02.2020 | 13:31 Uhr | Panagiotis Kolokythas

Nach den Problemen der letzten Tage: So können Google-Pay-Nutzer die Nutzung von Paypal als Bezahlart deaktivieren.

Update, 26.2.2020: Paypal hat laut eigenen Angaben (siehe weiter unten) die Probleme bei der Nutzung von Paypal als Bezahlart in Google Pay gelöst. Es gibt aber ernstzunehmende Hinweise darauf, dass das in Wahrheit noch gar nicht geschehen ist. Die deutschen Sicherheitsexperten von Exablue, die bereits viele Details zu dem Problem publik gemacht haben, erklären per Tweets, dass das Problem weiterhin bestehe. Eigene Tests hätten ergeben, dass sich die Schwachstelle im System weiterhin ausnutzen lasse. "Wir haben gezeigt, dass sich Paypal nicht um die Sicherheit kümmert", heißt es in einem der Tweets.

Cachys Blog berichtet am Mittwochmittag, dass Google bei Google Pay vorübergehend Paypal als Zahlungsmittel gestrichen habe. Das können wir nicht bestätigen, denn auf unserem Android-Gerät ist die Nutzung von Paypal in Google Pay weiterhin möglich.

Wer auf Nummer sicher gehen will, der kann auch die Nutzung von Paypal innerhalb von Google Pay deaktivieren. Laut Angaben von Paypal muss man dabei wie folgt vorgehen:

  • Rufen Sie die Paypal-Seite für die Einstellungen auf, nachdem Sie sich mit Ihren Zugangsdaten eingeloggt haben

  • Klicken Sie auf Zahlungen.

  • Klicken Sie auf Zahlungen im Einzugsverfahren verwalten und stornieren Sie die neueste aktive Abbuchungsvereinbarung von Google, Inc.

Alternativ werden die Kunden dazu aufgefordert, sich mit dem Paypal-Kundenservice in Verbindung zu setzen. Dieser ist innerhalb von Deutschland über die gebührenfrei Nummer 08007244296 erreichbar.

Update, 25.2.2020: Wir haben dem Artikel Informationen darüber hinzugefügt, wie es zu der Attacke gekommen sein könnte. Diese Infos finden Sie ab "Deutsche Sicherheitsexperte: Paypal kannte Problem seit Februar 2019". Außerdem erreichte uns per Mail vor wenigen Minuten die folgende Stellungnahme von Paypal zu diesem Thema:

"Wir haben uns unverzüglich der Behebung dieses Problems angenommen. Betroffen war eine sehr geringe Anzahl von PayPal-Kunden, die Google Pay nutzen. Das Problem wurde inzwischen behoben. Es wurden keine persönlichen Daten oder Finanzinformationen von PayPal-Kunden gestohlen. Auch hatten Dritte zu keinem Zeitpunkt Zugriff auf PayPal-Konten. Gemäß unserer Nutzungsrichtlinie werden wir betroffenen Kunden sämtliche nicht autorisierte Zahlungen zurückerstatten."

Ein Google-Sprecher erklärte in einer Mail an die Redaktion:

"Wir verstehen die Frustration von Nutzern, die ungewöhnliche Aktivitäten auf ihren Accounts bemerkt haben und begrüßen, dass PayPal schnell gehandelt hat, um das Problem zu lösen. Sicherheit hat bei Google Pay die höchste Priorität. Zahlungsbetrug ist eine komplexe Herausforderung und unser Team wird unsere Partner weiterhin dabei unterstützen, den Schutz von Nutzern zu gewährleisten."

Was ist passiert? Die Zusammenfassung

Im Forum von Google Pay und hier im Forum von Paypal häufen sich seit wenigen Tagen die Klagen von Nutzern über ungewöhnlich hohe Abbuchungen, die über Google Pay veranlasst wurden, mit denen die Nutzer selbst aber nichts zu tun haben. Ein Nutzer hatte am Sonntag gemeldet, dass über sein Google-Pay-Konto mehrere Zahlungen in verschiedenen Geschäften in den USA getätigt wurden. Anschließend meldeten sich immer mehr Nutzer, die ebenfalls solche ungewöhnliche Abbuchungen bemerkten. Offenbar sind Nutzer betroffen, die ihre Google-Pay-Konten mit ihrem Paypal-Konto verknüpft haben, um dann mit Google Pay überall kontaktlos zahlen zu können, wobei die Beträge dann über das bei Paypal hinterlegte Konto abgebucht werden.

So sehen die - noch nicht authorisierten - Abbuchungen aus, ueber die Google-Pay-Nutzer klagen
Vergrößern So sehen die - noch nicht authorisierten - Abbuchungen aus, ueber die Google-Pay-Nutzer klagen
© https://support.google.com/pay/thread/29529465?

Den in Google Pay aufgelisteten Aktivitäten zufolge, wurden die Abbuchungen vor allem in Geschäften der US-Supermarktkette Target veranlasst. Unter anderem in Filialen in New York.

Teils wurden die Auszahlungen noch nicht autorisiert, andere Nutzer melden allerdings, dass tatsächlich auch zum Teil hohe Beträge von ihren bei Google Pay über die Verknüpfung zu Paypal hinterlegten Kreditkarten abgebucht wurden. Und dies obwohl bei ihrem Google-Pay-Konto alle Sicherheitsmaßnahmen aktiv sind und eine Zahlung ohne Smartphone gar nicht hätte möglich sein können. Nutzer, die ihr Google Pay mit einem Paypal-Konto verknüpft haben, klagen in diesem Paypal-Forumsthread über die seltsamen Abbuchungen.

So wehren Sie sich gegen die Abbuchungen

Google-Pay-Nutzer sollten überprüfen, ob über ihr Google-Pay-Konto ungewöhnliche und von ihnen nicht autorisierte Zahlungen getätigt wurden. Sollten Sie ebenfalls von dem Problem betroffen sein, dann sollten Sie sich umgehend mit Google Pay in Verbindung setzen. Wie Sie eine getätigte Zahlung anfechten, melden oder stornieren können, erläutert Google auf dieser Support-Seite. Den Support von Google Pay erreichen Sie über diese Website von Google.

Zusätzlich sollte auch Paypal umgehend informiert werden. Auf dieser Seite finden Sie alle Informationen, wie Sie sich mit dem Paypal-Kundenservice in Verbindung setzen können. Laut einem Forumsbeitrag im Google-Pay-Forum hat sich mittlerweile auch Google zu den Problemen geäußert. Zitiert wird aus einer Mail, laut der Google bereits an einer Lösung des Problems arbeite.

Deutsche Sicherheitsexperten: Paypal kannte Problem seit Februar 2019

Die deutschen Sicherheitsexperten von Exablue berichten mittlerweile über mehrere Tweets hinweg, dass ein freier Mitarbeiter des Unternehmens schon im Februar 2019 im kontaktlosen Bezahlsystem von Paypal ein "ernstes Problem" gefunden und auch an Paypal gemeldet habe. Paypal habe auch eine Belohnung in Höhe von 4.400 US-Dollar für die Entdeckung ausgezahlt, aber offenbar das Problem nicht gelöst.

Konkret beschreiben die Sicherheitsexperten das Problem wie folgt:

Für die NFC-Bezahlung erhalte der Kunde eine virtuelle Kreditkarte. Mit dieser virtuellen Karte seien nicht nur Point-of-Sales-Transaktionen an NFC-Terminals möglich, sondern diese virtuellen Kreditkarten können auch für Online-Zahlungen verwendet werden. Bei diesen Online-Zahlungen würden aber nur die Kreditkarten-Nummer und das Ablaufdatum der virtuellen Kreditkarte überprüft und jede CVC-Nummer und jeder Karteninhaber-Name akzeptiert. Alle Informationen einer virtuellen Kreditkarte könnten über eine NFC-Leseapp ausgelesen werden.

Exablue kommt aber zur Einschätzung, dass bei den aktuellen Vorfällen die Angreifer eine Brute-Force-Attacke verwendet haben, weil einige der Betroffenen angeben, nie die Möglichkeit des kontaktlosen Bezahlens genutzt zu haben und auch NFC auf ihren Smartphone deaktiviert haben.

Brute-Force-Attacke bedeutet, dass die Angreifer die Kreditkarten-Nummern erraten haben. Eigene Recherchen hätten ergeben, dass bei den betroffenen deutschen Kunden die ersten acht Ziffern, die die Bankidentifikationsnummer enthalten, immer identisch gewesen seien, wodurch nur noch sieben Ziffern erraten werden mussten. Die letzte Ziffer der Kreditkartennummer lasse sich aus den ersten acht Ziffern und den weiteren sieben Ziffern errechnen.

Nachdem Paypal den Service erst seit Oktober 2018 anbietet, gäbe es auch nur 17 mögliche Varianten eines Ablaufdatums einer virtuellen Kreditkarte. Der Rest sei Mathematik: Davon ausgehend, dass es rund 170 Millionen mögliche Kreditkarten-Nummern gibt und davon 1 Million Nutzer in Deutschland die NFC-Zahlung aktiviert haben, führe jeder 170te Versuch zu einer gültigen Kreditkarten-Nummer.

Macwelt Marktplatz

2489362