Neue Betrugsmasche bei Paypal: Belastung von Bankkonten 01:57 Min. Verfügbar bis 18.12.2026 Von Jörg Schieb, Jörg Schieb

PayPal: Wie Betrüger mit fremden IBANs Konten belasten

Stand: 18.12.2024, 11:22 Uhr

Eine gefährliche Schwachstelle bei PayPal ermöglicht Betrügern, Bankkonten mit Hilfe der sogenannten Gastzahlung zu belasten. WDR-Digitalexperte Jörg Schieb erklärt, wie die Masche funktioniert – und wie sich alle schützen können.

Von Jörg Schieb

Unbemerkt auf Kosten von arglosen Opfern eingekauft oder Geld vom Konto abgebucht - und das, obwohl die eigenen Bankdaten scheinbar sicher waren: Kriminelle nutzen eine Schwachstelle bei PayPal, um mit fremden IBANs Zahlungen durchzuführen. Die Betroffenen bemerken den Betrug oft erst, wenn es zu spät ist.

Gastzugang ermöglicht Kontobelastung

Die neu bekannt gewordene Sicherheitslücke betrifft den sogenannten "Gastzahlungsprozess" von PayPal. Diese Funktion erlaubt es Nutzern, ohne ein eigenes PayPal-Konto (und ohne die damit verbundene Verifizierung) Zahlungen auszuführen. Stattdessen geben sie lediglich eine IBAN an, und der Betrag wird per Lastschrift vom Bankkonto abgebucht.

Genau hier setzen Kriminelle an: Sie verwenden IBANs fremder Bankkonten, um unbefugt Zahlungen einzuleiten. Für die rechtmäßigen Kontoinhaber bleibt der Betrug zunächst unbemerkt, da keine zusätzliche Verifizierung wie ein TAN-Verfahren oder eine andere Zwei-Faktor-Authentifizierung stattfindet. Die Folge: Unerwartete Abbuchungen und finanzielle Schäden.

Warnung der Verbraucherzentrale NRW

Unter anderem warnt die Verbraucherzentrale Nordrhein-Westfalen hat vor dieser Betrugsmasche. Oft bemerken Betroffene den Missbrauch erst, wenn unerklärliche Abbuchungen auf ihrem Kontoauszug erscheinen.

Besonders problematisch: In einigen Fällen werden die Zahlungen nicht direkt bemerkt, sondern erst später, wenn Inkassobüros Mahnungen verschicken oder Gebühren geltend machen.

Laut Verbraucherschützern entsteht der Betrug durch unzureichende Sicherheitsvorkehrungen bei PayPal. Obwohl der Zahlungsdienstleister als einer der sichersten seiner Art gilt, zeigt die aktuelle Lücke, dass hier weitere Schutzmaßnahmen notwendig sind.

So funktioniert die Gastkontomasche

Die Betrüger benötigen lediglich eine gültige IBAN, um den Missbrauch zu starten. Diese Kontodaten können sie auf verschiedenen Wegen erlangen:

  • Online-Phishing: Betrüger täuschen seriöse E-Mails vor, um Bankdaten zu erschleichen.
  • Daten aus früheren Leaks: Gestohlene Kontodaten aus früheren Datenlecks werden weiterverwendet.
  • Öffentliche Datenquellen: In Deutschland ist die IBAN oft leicht zugänglich, etwa auf Rechnungen oder Spendenquittungen.

Sobald die IBAN eingegeben wird, können Betrüger Zahlungen über PayPal tätigen, die von den betroffenen Bankkonten abgebucht werden. Besonders perfide: Da keine TAN erforderlich ist, bleibt der eigentliche Kontoinhaber außen vor.

Schwachstelle bei der Identitätsprüfung

Ein Grund für die Effektivität dieser Masche liegt in der fehlenden Identitätsprüfung bei Gastzahlungen. Anders als bei regulären PayPal-Transaktionen, bei denen Nutzer über ihr Konto eingeloggt sind und Sicherheitsmaßnahmen wie Zwei-Faktor-Authentifizierung greifen, findet hier keine umfassende Prüfung statt.

Diese Lücke ermöglicht es Betrügern, Transaktionen zu starten, ohne ihre Identität nachweisen zu müssen.

Was Betroffene tun können

Wer verdächtige Abbuchungen auf seinem Konto entdeckt, sollte schnell handeln. Die Verbraucherzentrale empfiehlt folgende Schritte:

            1.         Bank informieren: Sofort die Hausbank kontaktieren und die unautorisierte Lastschrift zurückbuchen lassen. Bei Lastschriften haben Kunden bis zu acht Wochen Zeit, eine Rückbuchung zu veranlassen.

            2.         PayPal kontaktieren: PayPal über den Vorfall informieren, damit der Zahlungsdienstleister entsprechende Maßnahmen ergreifen kann.

            3.         Anzeige erstatten: An die Polizei wenden, um den Betrug zur Anzeige zu bringen. Das ist besonders wichtig, um mögliche weitere Schritte gegen die Täter einleiten zu können.

            4.         Regelmäßige Kontrolle: Unbedingt die eigenen Kontoauszüge sorgfältig auf unautorisierte Abbuchungen kontrollieren. Eine regelmäßige Prüfung hilft, Betrug frühzeitig zu erkennen.

Forderungen an PayPal und Banken

Verbraucherschützer fordern von Zahlungsdienstleistern wie PayPal, ihre Sicherheitsmaßnahmen bei Gastzahlungen zu verbessern. Ein erster Schritt könnte die Einführung zusätzlicher Authentifizierungsmechanismen sein, beispielsweise eine SMS-TAN oder eine Verifizierung über persönliche Daten.

Auch Banken werden angehalten, stärker auf unberechtigte Lastschriften zu achten und betroffene Kunden schneller zu informieren. Das Ziel: Betrug bereits im Vorfeld zu verhindern und nicht erst nach erfolgten Abbuchungen zu reagieren.

Wie können Sie sich schützen?

Die Sicherheit der eigenen Bankdaten zu erhöhen, ist nicht immer einfach. Dennoch gibt es Maßnahmen, um das Risiko zu minimieren:

  • IBAN nicht leichtfertig teilen: Unbedingt vermeiden, die eigenen Bankdaten an unsicheren Orten oder auf nicht vertrauenswürdigen Webseiten einzugeben.
  • Vorsicht bei Phishing-Versuchen: Nicht auf E-Mails oder Nachrichten reaieren, die Sie auffordern, sensible Bankdaten preiszugeben.
  • Kontoauszüge kontrollieren: Regelmäßige Kontrollen helfen, unautorisierte Transaktionen frühzeitig zu erkennen.
  • Starke Passwörter verwenden: Bei Online-Banking oder PayPal starke und einzigartige Passwörter verwenden.

Die aktuelle Sicherheitslücke bei PayPal zeigt, wie wichtig es ist, Bankkonten regelmäßig zu prüfen und bei Verdacht sofort zu handeln. Auch wenn PayPal für viele als sicher gilt, bleibt der Zahlungsdienstleister in der Verantwortung, die Schwachstelle zu schließen und so die Sicherheit für Verbraucher zu erhöhen.

Unsere Quellen:

  • Verbraucherzentrale NRW
Empfehlungen werden geladen ...