Mit einer Kreditkarte über Google Pay kontaktlos zu bezahlen ist für viele Verbraucher in Deutschland bereits zu einer gewissen Routine geworden. Auch deshalb lohnt es sich aber bei Berichten über mögliche Sicherheitslücken genau hinzusehen. Eine solche Lücke gibt es aktuell angeblich bei PayPal, auch wenn sich der US-amerikanische Zahlungsanbieter noch nicht offiziell dazu geäußert hat. Unbekannte Abbuchungen bei mehreren Nutzern unterstreichen die Vermutung von Sicherheitsexperten und Online-Plattformen.
Sicherheitslücke schon seit Februar 2019 bekannt
Wie verschiedene Internet-Plattformen berichten, besteht die Sicherheitslücke bei der Nutzung von PayPal via Google Pay schon deutlich länger, als man annehmen mag. Der Cybersicherheitsexperte Andreas Mayer hatte bereits im Februar 2019 vor dem möglichen Datenleck gewarnt und eine Korrektur angemahnt. Passiert ist seitdem allerdings wohl wenig, denn scheinbar existiert die Sicherheitslücke bei PayPal auch weiterhin. Dabei können Betrüger mit einer beliebigen Cardreader App die Kreditkartenummer sowie das Ablaufdatum der virtuellen Kreditkarte auslesen – das reicht bereits, um bei bestimmten Händlern im Internet ohne zusätzliche Verifizierung einzukaufen. Dies gilt wohlgemerkt unabhängig davon, welches Zahlungsmittel bei PayPal hinterlegt ist.
Betrug ist selbst für Laien vergleichsweise einfach
Das größte Problem an der Sicherheitslücke ist, dass sie nicht einmal große technische Kenntnisse voraussetzt. Ein Betrüger muss sich demnach nur eine entsprechende Cardreader App herunterladen und kann diese dann einfach durch einen einmaligen physischen Kontakt nutzen. Dabei muss ein Smartphone nah an ein anderes gehalten werden, was aber selbst im öffentlichen Nahverkehr einfach passieren kann. Darüber hinaus muss der Bildschirm des jeweiligen Smartphones, das „angegriffen“ werden soll, aktiviert sein. Dies passiert aber durchaus auch dann einmal, wenn das Smartphone nur in der Hosentasche ist. Sofern diese Bedingungen erfüllt sind, kann die Kreditkarte direkt und einfach ausgelesen werden. Die Täter haben in wenigen Sekunden die Kartennummer und die CVC der jeweiligen Kreditkarte – möglich ist dies allerdings nur, wenn PayPal als primäre Zahlungsmethode bei Google Pay hinterlegt ist. Ob dahinter eine Kreditkarte hinterlegt ist oder ein Girokonto spielt dagegen keine Rolle, da PayPal in beiden Fällen eine virtuelle Karte generiert.
PayPal hat die Sicherheitslücke noch nicht geschlossen
Besonders verstörend ist sicherlich, dass PayPal die offensichtliche Sicherheitslücke noch nicht geschlossen hat – obwohl scheinbar schon seit knapp einem Jahr ein Tipp an das Unternehmen überspielt worden war. Dass in den letzten Monaten gleich mehrere Fälle bekannt wurden, bei denen Nutzer von PayPal via Google Pay über unautorisierte Abbuchungen geklagt haben, passt da gut ins Bild. Bis das Problem behoben ist, sollten Sie entsprechend vorsichtig sein und kostenlose Karten wie die DKB Kreditkarte oder auch die GenialCard besser nicht über den Umweg PayPal bei Google Pay hinterlegen.
