[datensicherheit.de, 17.12.2024] Die Verbraucherzentrale Nordrhein-Westfalen (vz NRW) geht in einer aktuellen Stellungnahme auf Vorfälle bei „PayPal“ zum Schaden von Verbrauchern ein, bei denen Cyber-Kriminelle demnach mit fremden Kontodaten im Internet einkaufen und gibt Tipps, wie sich Verbraucher schützen können.

Betrüger missbrauchte alte IBAN beim Online-Shopping über Funktion „Zahlen ohne PayPal-Konto“

Ein Verbraucher aus dem nördlichen Nordrhein-Westfalen sei fassungslos: „Der Zahlungsdienstleister „PayPal“ möchte 56,75 Euro von ihm haben – für einen Einkauf, von dem er nichts weiß.“ Er habe sodann bei „PayPal“ nachgefragt und erfahren, dass das Geld von seinem Bankkonto nicht habe abgebucht werden können. „Das Konto existiert ja auch seit 2018 nicht mehr“, so seine Erklärung gegenüber der vz NRW. Er habe zwar ein „PayPal“-Account, aber seine alte IBAN daraus längst gelöscht.

Dieser Verbraucher habe dann herausgefunden, dass irgendjemand offensichtlich diese alte IBAN beim Online-Shopping über die Funktion „Zahlen ohne PayPal-Konto“ eingegeben habe. Wie die unbekannte Person an diese Daten gekommen sei, wisse er nicht. Bei dieser Methode, auch „Gast-Konto“ oder „Gastzahlung“ genannt, erlaube „PayPal“ das Bezahlen per Lastschrift, ohne dass ein „PayPal“-Konto angelegt werde. „,PayPal’ hat dabei die Rolle eines Zahlungsabwicklers, der dafür zuständig ist, dass die per Lastschrift oder Kreditkarte geleistete Zahlung des Käufers dem ,PayPal’-Konto des Händlers gutgeschrieben wird“, so eine „Paypal“-Sprecherin auf Anfrage der vz NRW.

Auf die Frage „Wird dabei geprüft, ob die angegebene IBAN auch der Person gehört, die gerade die Bestellung tätigt?“ habe „PayPal“ nur allgemein geantwortet: „,PayPal’ führt im Rahmen der Maßnahmen zu Risikomanagement und Betrugsprävention Sicherheitsprüfungen bei der Abwicklung von Zahlungen durch.“

vz NRW gibt generelle Tipps für Verbraucher – „PayPal“ nur ein Beispiel

Wie sich Verbraucher laut vz NRW schützen könnten und was Betroffene tun sollten:

Forderung des Unternehmens widersprechen!
Wer eine unberechtigte Forderung von einem Zahlungsdienstleister oder Online-Shop erhält, sollte nicht einfach zahlen, aber auch nicht untätig bleiben. Betroffene sollten gegenüber dem Unternehmen schriftlich widersprechen, zum Beispiel mithilfe des Musterbriefs der Verbraucherzentrale NRW. Wer bei einer solchen Forderung mit Mahnungen und Schreiben von Inkassobüros oder Rechtsanwälten überhäuft wird, sollte sich auf keinen Fall einschüchtern lassen. Ernst zu nehmen sei vor allem der „echte“, das heißt gerichtliche Mahnbescheid. Dies sei ein amtliches Formular und komme ausschließlich per Postzustellung von einem Gericht. Zu jedem echten gerichtlichen Mahnbescheid werde auch ein Widerspruchsformular mitgeschickt. „Mit diesem Formular können Betroffene innerhalb der 14-tägigen Widerspruchsfrist der Geldforderung widersprechen. Ein echter Mahnbescheid kommt aber nach den Erfahrungen der Verbraucherzentrale NRW nur sehr selten.“ Sollte dies doch geschehen, könnten Betroffene sich an eine örtliche Verbraucherzentrale wenden.

Rückbuchung bei der Bank beantragen!
Jede Abbuchung auf ihrem Konto könnten Verbraucher acht Wochen lang rückgängig machen. „Handelt es sich um eine unberechtigte Abbuchung ohne Einzugsermächtigung, gilt sogar eine Frist von 13 Monaten.“ Die Rückbuchung könne häufig im Online-Banking oder direkt in der Filiale oder per Telefon beantragt werden.

Anzeige erstatten!
Betroffene sollten den Betrug und den Missbrauch ihrer Daten bei der Polizei zur Anzeige bringen. „Falls sie Inkassoforderungen erhalten, können sie diese mit Vorlage der Anzeige bestreiten.“

Vorsichtig mit Kontodaten umgehen!
Grundsätzlich sollten Verbraucher sensible Daten wie die IBAN so selten wie möglich angeben und schon gar nicht irgendwo öffentlich lesbar hinterlassen. „Wenn Daten durch Hacker-Angriffe oder Datenlecks gestohlen werden oder durch erfolgreiches Phishing in fremde Hände gelangen, bleiben nur die oben genannten Empfehlungen.“

Weitere Informationen zum Thema:

verbraucherzentrale Nordrhein-Westfalen, 16.12.2024
Wie Kriminelle das „Bezahlen ohne PayPal-Konto“ missbrauchen / Mit dem Begriff „Gastkonto-Masche“ wird im Internet über einen Betrug via PayPal diskutiert, bei dem Kriminelle fremde IBAN für Einkäufe missbrauchen. Schutz für Betroffene gibt es kaum.

verbraucherzentrale Nordrhein-Westfalen, 05.12.2024
Abzocke online: Rechnung bekommen, aber nichts bestellt – was tun? / Wer eine unberechtigte Forderung eines Onlineshops erhält, sollte nicht einfach zahlen – aber auch nicht untätig bleiben.

[datensicherheit.de, 25.01.2023] Der Zahlungsdienstleister PayPal soll Opfer eines enormen „Credential-Stuffing“ Angriffs geworden – viele Nutzer seien daher verunsichert, wie sicher ihr Geld und ihre Daten in der digitalen Welt sind, wenn so etwas selbst einem „Big-Player“ wie PayPal passiert. Sam Curry, „Chief Security Officer“ bei Cybereason, geht in seiner aktuellen Stellungnahme auf diesen Vorfall ein und äußert hierzu zwei Gedanken:

Foto: Cybereason

Sam Curry: Letztlich müssten auch die Nutzer bis zu einem gewissen Grad selbst für ihre Sicherheit sorgen!

Cyber-Sicherheit als Aufgabe für alle Beteiligten

Zur naheliegenden Frage, was PayPal tun müsste, um besser gegen diese Angriffe gewappnet zu sein, führt Curry aus: „Neue Zahlungssysteme zeichnen sich unter anderem durch ihre Einfachheit und Benutzerfreundlichkeit aus: Bei der Kaufabwicklung gibt es so wenig ,Klicks’ oder Herausforderungen wie möglich. Mit diesem Hintergrund gibt es nur wenige Lösungen, die PayPal tatsächlich umsetzen kann:“

Erstens könne PayPal eine Multi-Faktor-Authentifizierung einrichten – was allerdings eine zusätzliche Hürde oder den Einsatz von unterbrechungsfreien Authentifizierungsfaktoren bedeute. Zu einem gewissen Grad werde dies bereits getan, aber allein der „Erfolg von 35.000 Sicherheitsverletzungen“ deute darauf hin, dass hierbei Verbesserungen nötig seien.

Zweitens könne das Unternehmen zusätzliche Analysen durchführen, um Angriffsmuster zu untersuchen. Dies werde jedoch nur bedingt Wirkung zeigen, da die Angreifer die Muster aus operativer Sicht recht einfach beeinflussen und ändern könnten.

Letztlich müssten die Nutzer also bis zu einem gewissen Grad selbst für ihre Sicherheit sorgen, „indem sie ihre Passwörter ändern, Passwort-Tresore nutzen, einmalige Passwörter verwenden und weitere ähnliche Maßnahmen anwenden“. Nur so könne PayPal letztendlich ein System bereitstellen, „das den Nutzern mehr als nur die Beobachtung ihrer Geldbewegungen ermöglicht“.

Frage an jedes Unternehmen: Vorbereitet auf Cyber-Attacken auch im Umfeld?

Curry kommentiert auch die Erörterung der Frage, was es über den Zustand von Cyber-Sicherheit aussagt, wenn große Firmen immer wieder Opfer von Cyber-Angriffen und die sensiblen Daten ihrer Kunden ausspioniert werden:

„In diesem Fall ist es wichtig zu wissen, dass nicht PayPal angegriffen wurde. Andere Sicherheitslücken führten dazu, dass die Passwörter vieler Benutzer gestohlen wurden. Da viele Menschen ihre Passwörter häufig mehrfach verwenden, waren die Hacker in der Lage, PayPal-Konten so lange mit den Passwörtern zu beschießen, bis sie 35.000 Übereinstimmungen fanden.“

Nun wäre es laut Curry interessant zu wissen, wie viele dieser Authentifizierungen ins Leere liefen, bis die Angreifer 35.000 Treffer erzielten. „Mit anderen Worten: Wie hoch war das Verhältnis von Erfolg zu Misserfolg? Falls dieses Verhältnis anormal ist, schließt sich die Frage an, wie lange PayPal gebraucht hat, um die Abweichungen zu erkennen.“ Der Teufel stecke im Detail, ebenso wie der Weg zur Verbesserung der Backend-Analytik.

Dieser Vorfall sollte auch eine Warnung für andere Unternehmen sein, welche wertvolle Daten oder gar Geld nur mit Passwörtern schützen. Curry abschließend: „Denn, wenn PayPal nun seine Security-Maßnahmen verbessert, werden die Hacker die bereits gestohlenen Passwörter auf anderen Websites ausprobieren. Daher die essenzielle Frage an die anderen Unternehmen: Sind Sie darauf vorbereitet?“

Weitere Informationen zum Thema:

DerStandard, 22.01.2023
Datenleck bei Paypal: Angreifer hatten Zugriff auf Nutzerkonten / Kriminelle gelangten mithilfe zuvor gestohlener Daten in die Kundenkonten der Zahlungsplattform

[datensicherheit.de, 29.03.2017] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz warnt davor, dass derzeit zahlreiche PayPal-Kunden E-Mails erhalten, in denen sie dazu aufgefordert werden, sensible Bankdaten preiszugeben, um eine Deaktivierung des Accounts zu verhindern. Wer der E-Mail bereits Vertrauen geschenkt und seine Bankdaten angegeben hat, sollte sofort seine Bank sowie den PayPal-Kundendienst kontaktieren, so sein Rat.

Professionelle Aufmachung

Diese E-Mails seien nicht sofort als Phishing-Attacke erkennbar, da der Empfänger mit vollständigem Namen angesprochen werde – sie seien „professionell aufgemacht“ und enthielten kaum Rechtschreibfehler.
„Besonders perfide an diesen Phishing-Mails ist, dass als Grund für die angeblich notwendige Verifikation der Konten die europäische Datenschutz-Grundverordnung genannt wird“, sagt Prof. Dr. Dieter Kugelmann, der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz.

Niemals Link anklicken oder Anhang öffnen!

Wie bei allen Phishing-Mails empfehle es sich, die Nachricht gar nicht erst zu öffnen, sondern direkt zu löschen: „In keinem Fall sollte ein darin enthaltener Link angeklickt oder ein etwaiger Anhang geöffnet werden. Bei derartigen Aufforderungen, vertrauliche Anmeldedaten einzugeben, sollten die Nutzerinnen und Nutzer grundsätzlich misstrauisch sein“, betont der Datenschutzbeauftragte.
Im Übrigen könne man anhand einiger Kriterien zum Teil feststellen, ob es sich um einen Betrugsversuch handelt. Beispielsweise dann, wenn in der Anrede nicht „Sehr geehrter Herr“ oder „Sehr geehrte Frau“, sondern eine allgemeine Begrüßung wie „Guten Tag“, gefolgt vom Namen, verwendet werde. Darüber hinaus seien oftmals Komma- oder Rechtschreibfehler enthalten und es werde auf einen Link oder den Anhang hingewiesen.

Weitere Informationen zum Thema:

datensicherheit.de, 01.09.2016
Rheinland-Pfalz: Überarbeiteter Handlungsrahmen zur Nutzung Sozialer Medien durch öffentliche Stellen

[datensicherheit.de, 04.08.2016] Experten von Proofpoint haben nach eigenen Angaben des Unternehmens aktuell feststellen können, dass Cyber-Kriminelle verstärkt legitime PayPal-Konten nutzen, um den Banking-Trojaner „Chthonic“ zu verbreiten.

Die Proofpoint-Rechercheure hätten dabei einen neuen Verteilungsmechanismus für Malware–Zahlungsaufforderungen von PayPal mit einem Link zu „Chthonic“ und einer „socially engineered“ Forderung von 100 USD entdecken können.
Wenn Cyber-Kriminelle legitime Dienste nutzen könnten, um böswillige Nachrichten zu verschicken, erhöhe sich das Infektionsrisiko enorm.
Viele Dienste und Kunden verfügten einfach nicht über die Mittel, um Bedrohungen zu erkennen, die über sehr bekannte Anbieter verschickt werden, und leiteten diese Nachrichten daher weiter zu nichtsahnenden Anwendern.

Weitere Informationen zum Thema:

proofpoint
Cyber-Kriminelle nutzen zunehmend legitime PayPal-Konten, um den Banking-Trojaner Chthonic zu verbreiten