KreditkartenbetrugPayPal lässt Einkäufe mit gestohlenen Kreditkarten zu

Sicherheitslücke beim Onlinebezahldienst: Wer sich mit Kreditkarte anmeldet, wird zwar überprüft. Bis dahin aber kann er schon einkaufen – auch wenn sie geklaut ist. von dpa

Der amerikanische Bezahldienst PayPal, der zu eBay gehört, wird weltweit von mehr als 220 Millionen Kunden genutzt . Er wirbt damit, dass bei den Transaktionen " Sicherheit groß geschrieben" werde . Doch gilt das nicht in jedem Fall. Wer mit gestohlener Kreditkarte unter falschem Namen ein Konto anlegt, kann damit ohne gestoppt zu werden für bis zu 1500 Euro einkaufen. Das berichtet das Computermagazin c't in seiner aktuellen Ausgabe.

Die Lücke besteht in der Überprüfung durch PayPal. Zwar checkt man dort die Karte, doch bis das Ergebnis vorliegt, ist sie schon einsetzbar. Das Magazin schildert den Fall einer Frau, der so 195 Euro abgebucht wurden, obwohl sie selbst nie mit PayPal zu tun hatte. Ihre Kartendaten waren von Fremden benutzt worden, um dort ein Konto anzulegen und einzukaufen.

Anzeige

Wie die Staatsanwaltschaft später ermittelte, war der Computer, von dem aus die Einkäufe getätigt wurden, von einem rumänischen Botnet infiziert . Die Täter fand man nicht. Erst nach einer langen Odyssee zwischen Hausbank, Kreditkarten-Anbieter und PayPal wurde der Betroffenen der Schaden erstattet.

Der Bezahldienst prüft Kreditkarten bei der Anmeldung, indem diese mit einem Centbetrag belastet werden. Dabei wird ein Code übermittelt, den der Karteninhaber anschließend zurückmelden muss. Erst dann gilt er als verifizierter Kunde. Das bestätigte auch PayPal dem Magazin: Eine PayPal-Sprecherin sagte, bis eine Verifizierung der Daten erfolgt sei, "gibt es eine Beschränkung für die Zahlung, den Empfang und die Entnahme von Geldern, die der Kunde tätigen kann".

Solange aber kann er mit der Karte schon einkaufen. Die c't schreibt: "Nach unseren Recherchen liegt die Beschränkung für Zahlungen bei 1500 Euro." Ein "solch laxer Umgang" sei erstaunlich, da es nach dem Geldwäschegesetz für Kreditinstitute in Deutschland konkrete Auflagen gebe, sagte c't -Redakteur Axel Kossel. So müsse bei einer Kontoeröffnung in einer Bank die Identität des Kunden mithilfe eines Lichtbildausweises oder einer elektronischen Signatur überprüft werden.

PayPal hat zwei verschiedene Wege der Überprüfung. Bei Angabe eines Girokontos überweist der Dienst Geld an das Konto, das anschließend zurücküberwiesen werden muss. Dazu braucht es tatsächlichen Zugriff auf das Konto. Genau wie bei der Kreditkarte, denn den notwendigen Code gibt es mit der Abrechnung. Das System ist vergleichsweise sicher, nur die Kulanzlücke nicht – die wohl existiert, damit Neukunden PayPal sofort nutzen können und nicht wieder abspringen, bis der Prozess durchlaufen ist.

Update: PayPal erklärte in einer Mitteilung, es genüge nicht, nur eine Kreditkartennummer zu haben. Es brauche zur Anmeldung auch das Ablaufdatum der Karte und den hinten aufgedruckten Prüfcode. Zusätzlich prüfe "ein Risikomodell ob elektronische Lastschrift möglich ist". Im Übrigen sei man kein deutsches Kreditinstitut und damit nicht verpflichtet, sich an die deutschen Geldwäschevorschriften zu halten. Man unterläge dem "europäischem Geldwäsche-Gesetz für e-Geld-Institute" und müsse daher erst ab einem Betrag von 2500 Euro eine Identifizierung vornehmen. Freiwillig habe man diesen Betrag bereits auf 1500 Euro gesenkt.

Zur Startseite
 
Leserkommentare
    • zagy
    • 27. September 2010 16:51 Uhr

    "Erst nach einer langen Odyssee zwischen Hausbank, Kreditkarten-Anbieter und PayPal wurde der Betroffenen der Schaden erstattet."

    Von wem? Solange Paypal das zahlt ist es natürlich immer noch viel Rennerei aber eigentlich Paypals Problem, nicht?

  1. Ebenso wie bei Ebay bekommt man keine Menschen zu Gesicht, niemanden ans Telefon (und wenn, dann kostet es natürlich richtig Geld, ohne das es hilft), sondern alles läuft über Textbausteine und die eingehenden Mails werden entweder gar nicht gelesen oder überhaupt nicht verstanden.

    Mit "Rennerei" kommt man bei denen überhaupt nicht weiter.

    Leider alles keine Einzelfälle, sondern systematisch bedngte Probleme und Paypal ist praktisch nie an etwas schuld.

    Solange alle glatt geht, kann man mit diesem Dienst leben. Geht aber etwas schief, hat man kaum eine Chance gegenüber PayPal irgendwelcher rechtlicher Handhabe zumal die nicht mal in Deutschland sind.

    Für eine Kreditkartenzahlung wollten die von mir mal mein Girokontonummer. Spinnen die nur noch?

  2. ist ja noch ganz was anderes. Normalerweise ist es bei einer Kreditkarte so, dass man einen Beleg unterschreiben muss, damit einem was abgebucht werden kann. Wenn man telefonisch oder im Internet jetzt seine Kartendaten durchgibt, hat der Händler keine Unterschrift, also im Zweifelsfall das Nachsehen.

    Was sich Paypal jetzt erlaubt hat, ist, die angeforderte Rückbelastung nicht zu akzeptieren, weil [bla bla, zusammenfassend wohl: weil es eine Banklizenz hat] (siehe aktuelle c't), ohne irgendeinen Beleg vorliegen zu haben oder auch nur eine Identifikation des Kontoinhabers versucht zu haben.

    Von mir aus muss Paypal überhaupt keine Identität prüfen, aber wenn dann was schief geht müssen sie aber ganz dalli und komentarlos das Geld wieder rausrücken und dann halt selber zahlen. Der einzige Vorteil dieser kurzfristigen Prüfung der Kreditkarte mit Testüberweisung und kleinem Budget von 1500 EUR sind ja wohl höhere Umsätze für paypal, also müssen sie dafür auch das Risiko selber tragen.

  3. Über meine Kreditkartennummer wurde auch schön via PayPal illegal eingekauft!
    Letzten Monat.
    Ich habe von meiner Hausbank nach ca. 14 Tagen das Geld "vorübergehend" wieder gutgeschrieben bekommen.
    Bis zur endgültigen Klärung via PayPal.
    (ohne jetzt auf Details einzugehen hat man mir keinen Vorwurf gemacht- ich hatte keine Schuld)

    Also ich kann nur jedem empfehlen PayPal mit Vorsicht zu genießen. Und auf keinen Fall was von sichersichersicher zu glauben.

Bitte melden Sie sich an, um zu kommentieren

  • Quelle dpa
  • Schlagworte Botnet | Ebay | Euro | PayPal | Kreditkarten | Kreditkartenbetrug
Service