Google Pay: PayPal-Sicherheitslücke dürfte den Angriff ermöglichen – woher stammen die Kreditkarten-Daten?

Veröffentlicht am 26. Februar 2020 von Jens

Seit gestern sorgen die unberechtigten PayPal-Abbuchungen über Google Pay für große Diskussionen und auch Sorgen bei den Nutzern, denn bei diesem Angriff geht es um sehr viel Geld – das Geld der Nutzer. Trotz dieser großen Tragweite und dem damit entstehenden Vertrauensverlust haben sich sowohl PayPal als auch Google Pay nur sehr zurückhaltend geäußert, sodass kaum gesicherte Informationen vorliegen. Es zeichnet sich aber ab, dass der Fehler eher bei PayPal als bei Google Pay zu suchen ist.

Die moderne Welt ist so bequem: Das Smartphone ersetzt immer mehr Dinge des Alltags und hat dank Lösungen wie Google Pay, Apple Pay und anderen Anbietern längst auch die Kreditkarte ersetzt. Doch diese Bequemlichkeit hat manchmal auch ihren Preis, denn erst durch diese Verknüpfung war der Angriff möglich, der seit dem Wochenende kursiert. Natürlich, eine physische Kreditkarte kann gestohlen werden, aber das bekommt man eher mit, als das folgende Szenario.

Google Pay & PayPal: Aufgepasst! Die Sicherheitslücke besteht noch immer & wohl schlimmer als bisher gedacht

Es ist noch immer völlig unklar, wer oder was hinter dem Google Pay-PayPal-Angriff steckt, es kristallisiert sich aber heraus, dass es sich nicht um einen Bug oder Fehlbuchungen handelt, sondern um einen bewussten Angriff. Dazu haben sich die Angreifer wohl eine schon seit längerer Zeit bekannte PayPal-Sicherheitslücke zunutze gemacht, die dann nur noch Google Pay zur Umsetzung benötigt. Googles Zahlungsdienst hat also – nach aktuellem Stand – nichts damit zu tun. Das würde auch erklären, warum Google angeblich nichts dagegen tun kann.

Das Problem sind die virtuellen Kreditkarten, die von PayPal angeboten werden und bei Google Pay hinterlegt werden können. Alles was dazu benötigt wird, ist die Kartennummer sowie das Ablaufdatum. Es scheint so zu sein, dass der Sicherheitscode für Online-Zahlungen, der CVC, zumindest zu Beginn gar nicht benötigt wird. Hat man also diese beiden Daten, lassen sich einfach bei Google Pay hinterlegen und schon kann man mit dieser Karte bezahlen.

Damit kristallisiert sich heraus, das ein Angreifer nicht unbedingt den ganzen Tag bei Target an der Kasse verbracht hat, sondern es sich eher um Onlinezahlungen handelt, die aber über Google Pay mit der PayPal-Kreditkarte abgewickelt wurden.

Notfall-Informationen: Googles App zur Erkennung von Autounfällen gibt es jetzt für alle Pixel-Smartphones

Woher kommen die Daten?
Die große Frage ist nun, woher diese Daten stammen und warum nur (nach aktuellen Informationen) deutsche Nutzer betroffen sind, die bestimmt nicht in Scharen in die USA geflogen sind. Dafür gibt es nun mehrere Szenarien, denn sowohl die Kartennummer als auch das Ablaufdatum lassen sich mit manipulierten Geräten oder einfachen Smartphone-Apps per NFC auslesen. Dazu muss das Opfer nur NFC sowie das Display aktiviert haben (in einigen Fällen muss das Smartphone auch entsperrt sein). Dann einmal das Lesegerät an die Hosentasche des Opfers gehalten und schon sind die Daten da.

Dieses Szenario erscheint mir aber ganz persönlich im großen Stil unwahrscheinlich – vor allem deswegen, weil die betroffenen Nutzer quer in der Bundesrepublik verteilt wohnen. Natürlich können sie in den letzten Monaten alle am selben Ort gewesen sein, dennoch scheint es mir unwahrscheinlich. Viel wahrscheinlicher ist ein Hack eines beliebigen Unternehmens, am ehesten wohl ein Onlineshop, der die Kreditkarten der Kunden unverschlüsselt gespeichert hat. Weil die Liste der Betroffenen rein global gesehen nicht sooo groß ist, könnte es sich um kleinere Anbieter handeln, die das vielleicht noch nicht einmal bemerkt haben.

Wir bleiben natürlich an der Sache dran und veröffentlichen die Statements von PayPal, sofern es denn welche geben sollte. Bis dahin sollten alle Betroffenen sich schleunigst mit allen Parteien in Verbindung setzen und die unberechtigte Zahlung melden. Google Pay, PayPal und auch eine Anzeige bei der Polizei kann in dem Fall nichts schaden und bei der Rückförderung der teilweise hohen Beträge vielleicht das notwendige i-Tüpfelchen sein.