Die Verbraucherzentrale Nordrhein-Westfalen warnt vor einer fiesen Betrugsmasche, bei der Kriminelle die Möglichkeit von PayPal über ein Gastkonto zu zahlen, missbrauchen. Jeder Besitzer eines Bankkontos kann Opfer dieser Masche werden – egal, ob er Paypal nutzt oder nicht.
Anzeige
Die Masche mit dem PayPal-Gastkonto
Finanztipp beschreibt hier den Ansatz, ein Gastkonto zum Bezahlen über PayPal zu verwenden. Dazu wählt der Kunde im Onlineshop bei der Zahlungsmethode über PayPal die Option Gastkonto aus. Dann ist die IBAN des eigene Bankkontos einzutragen, so dass PayPal den Betrag dann per Lastschriftverfahren vom angegebenen Girokonto abbuchen kann.
Das nutzen auch Betrüger aus, die dann aber fremde IBANs für das Gastkonto verwenden und sich Waren mit Auslieferung an eine Packstation bestellen. Bemerkt der Kontoinhaber diese unberechtigten Abbuchungen nicht, bezahlt der Betrüger mit fremden Konten. Lässt der Geschädigte die Lastschrift zurückgehen, fängt der Ärger an. Der um sein Geld geprellte Online-Shop wird versuchen, diesen Betrag einzutreiben.
Auf PayPal diskutieren Geschädigte seit über einem Jahr diese Betrugsmasche. Der Beitrag Gastkonto Betrug stammt von Sommer 2023 und jemand schreibt, dass er "vor wenigen Tagen eine E-Mail von PayPal bekommen habe" (es sei eine alte E-Mail Adresse). Ein Unbekannter bestellt scheinbar was über den Namen des Betroffenen mittels Gastkonto. Er vermutet, dass seine Bankverbindung samt E-Mail Adresse durch Datendiebstahl aus einem Shop geleaked wurde und nun über ein PayPal-Gastkonto bei Käufen Dritter unberechtigt verwendet wird. Ein Anzeige bei der Polizei ist vom Geschädigten gestellt und er schlug sich mit Paypal herum, bis diese den Fall als geklärt eingestellt haben.
Ein zweiter Fall wird hier im Sommer 2024 diskutiert. Der Geschädigte kann keine Konfliktlösung anstoßen, da die Transaktionen nicht über sein Paypalkonto laufen. Der Betroffene gibt an, dass die IBAN nicht durch PayPal geprüft werde, und ob eine zugeordnete E-Mail-Adresse auch zu einem PayPal-Konto passt. In diesem Thread melden sich auch Händler, die massiv unter Betrugsbestellungen mit Bezahlung über PayPal-Gastkonto leiden.
Anzeige
Finanztipp gibt in seinem Beitrag hier an, dass eine Aussage PayPals, dass "dass die angegebenen Daten auch bei Gastzahlungen überprüft werden" inzwischen offline genommen worden sei. Laut PayPal sollen Name, Adresse und Geburtsdatum mit den bei der Schufa und Ebay gespeicherten Daten abgeglichen werden, schreibt Finanztipp. Diese Prüfung ist aber Schall und Rauch, wenn das angegebene Konto Bonität aufweist.
Finanztipp schreibt, dass sich die Beschwerden über das PayPal-Gastkonto laut Medienberichten häufen. Manche Geschädigten haben sogar mehrfach Geld verloren und erhalten inzwischen Schreiben von Inkassobüros.
Verbraucherzentrale NRW warnt vor der Masche
Inzwischen sieht sich sogar die Verbraucherzentral Nordrhein-Westfalen veranlasst eine Warnung vor der Betrugsmasche herauszugeben. Im Beitrag Wie Kriminelle das "Bezahlen ohne PayPal-Konto" missbrauchen geht die Verbraucherzentrale näher auf die oben beschriebene Masche ein.
Kein Schutz aber eine Bezahlgrenze
Die schlechte Nachricht: Es gibt keinen Schutz vor dieser Betrugsmasche – die Kriminellen benötigen nur eine gültige IBAN und irgend ein PayPal-Konto. Ob die IBAN dort als Zahlungsquelle eingetragen ist, spielt keine Rolle. Der Betrug kann also auch Leute treffen, die kein PayPal-Konto besitzen.
Die IBAN nicht zu veröffentlichen, ist auch keine Lösung – Firmen und Vereine müssen diese IBANs für Kunden und Mitglieder veröffentlichen, um Zahlungen zu ermöglichen. Zudem wurde oben im Text ja die Vermutung von Betroffenen angesprochen, dass deren IBAN und E-Mail-Adresse aus Online-Shops geleakt wurde.
Interessant ist die Information von Finanztipp, dass es bei PayPal aus Sicherheitsgründen zumindest eine Beschränkung beim Bezahlen über Gastkonto gebe: Es kann nur drei Mal pro IBAN über diese Bezahlmethode eingekauft werden und es gilt ein Gesamtbetrag von 1.500€ für alle Zahlungen. Betrüger können Konten im schlimmsten Fall bis zu dieser Obergrenze missbrauchen.
Geschädigte haben nur die Möglichkeit, ihre Kontoauszüge immer zu kontrollieren, unberechtigte Forderungen zu bestreiten, eine Rückbuchung der Lastschrift über die Bank zu veranlassen und Anzeige bei der Polizei zu stellen. Ärger natürlich inbegriffen.
Anzeige
Ohne Sepa-Mandat sollte das doch eigentlich gar nicht möglich sein, oder verstehe ich hier etwas falsch und erwarte zuviel von der Bank?
Bei mir haben sie es ebenfalls versucht, wenn auch etwas ausgefeilter:
Meine E-Mail-Adresse wurde in hunderten Newslettern angemeldet, so dass die Paypal Bestellnachricht (war in einem Whisky-Shop) darin untergehen sollte, da jeder normale Mensch ja die ganzen Nachrichten auf einmal löscht. Zunächst dachte ich, meine Paypal Daten oder E-Mailadresse wären trotz MFA irgendwie gestohlen worden, aber nach etwas Suche bin ich auf diese Masche gestoßen. Das war im Juli oder August.
"Es kann nur drei Mal pro IBAN über diese Bezahlmethode eingekauft werden" – für welchen Zeitraum gilt diese Beschränkung ? Weiß das jemand ?
VG HV
wieso "Ärger inbegriffen"? Weiß jemand, was einem als Kontoinhaber drohen könnte? Soweit ich weiß, muss man die Lastschrift doch "nur" bei der Bank reklamieren und zurückbuchen lassen. Die Beweislage sollte doch jetzt auf Seiten des Shops liegen und die möchte ich doch mal sehen, wenn ich gar nicht dort gekauft habe und – in meinem Fall, sogar noch nicht mal ein Paypalkonto habe.
Den Ärger hast Du trotzdem — spätestens dann, wenn der Gerichtsvollzieher vor Deiner Tür steht, weil der Laden oder die beauftragte Inkasso-Firma alle Deine Angaben (in meinem, von der Paypal-Geschichte unabhängigen Fall sogar: Kopie des Kontoauszugs, aus der hervorging, dass ich längst bezahlt hatte) einfach ignoriert.
Leider kein Witz.
Gerichtsvollzieher erst nach mahn- und Vollstreckunsgsbescheid.
da ist aber dann bei dir etwas anderes schief gelaufen.
ich kann mit so etwas umgehen. sicherlich aber bei einigen Leuten ein Problem.
Da ist seinerzeit (ist mehr als 20 Jahre her) vermutlich einiges schiefgelaufen. Aber den Ärger hatte ich trotzdem — oder gerade deswegen.
Glücklicherweise war der Gerichtsvollzieher ein verständiger Mann, der nach einem Blick in den Kontoauszug seinen Auftraggebern gemeldet hat, dass die Rechnung schon vor Monaten beglichen wurde und er nicht sehe, was es hier für ihn zu tun gebe. Damit war die Angelegenheit dann tatsächlich erledigt.
Fernab davon, das PayPal einfach weiterreicht an den IBAN und buchen kann – wo ist der Schutz des Kundens von Bankenseite her? Wird seitens der Bank gar nicht geprüft ob die Gegenstelle zum Abbuchen überhaupt legitimiert ist? Wozu muss ich bei Miete, Handyvertrag und anderen Sachen wo SEPA Lastschriftverfahren zum Einsatz kommt dem jeweiligen Anbieter unterschreiben? Und PayPal kann einfach kommen und buchen. Mir scheint so als würden Banken gleich gar nicht prüfen ob eine Transaktion von einem Konto legitim ist oder nicht, sondern einfach machen.
Das liegt am Konzept von SEPA.
Bei B2B gibt es ein Firmen SEPA Lastschriftverfahren – hier muss der Kontoinhaber die Bank über den Abbucher informieren und die Gläubiger ID wird hinterlegt und jedes mal geprüft. Das ist erforderlich, da es sich hier um eine Garantierte Abbuchung handelt und es kein Rückruf der Abbuchung gibt.
Bei "normalem" SEPA Lastschrift ist das nicht erforderlich – da der Kunde ja immer die Lastschrift zurückrufen kann.
Wird dann halt ungut, wenn die Opfer, das Ganze rückgängig machen lassen von der Bank und dann noch Stress mit der PayPal Inkasso bekommen, weil die ja den Fehler nicht einsehen wollen.
Da sollte sich mittlerweile jede Firma dann überlegen ob sie Ihre Bankdaten im Impressum hinterlegt auf der Webseite. Das sind ja praktisch dann alles potentielle Opfer.
Es gibt keine Verpflichtung, Bankdaten in einem Impressum zu hinterlegen
Das stimmt, aber mach dir mal die Mühe und suche bei Google Bildersuche nach "IBAN DE" und filetype:pdf.
Es ist gar nicht nötig, dass Unternehmen ihre Bankdaten auf ihre Webseite packen, wenn sie Unmengen an Geschäftspost mit aufgedruckten Bankdaten im Internet veröffentlichen (oder Dritte sie veröffentlichen, wie z.B. bei Frag den Staat).
Ich sehe nicht, dass es hier bei der Betrugsmasche speziell um B2B geht.
Und entsprechend hat auch der Vorposter recht, überall wollen Firmen von Privatleuten Sepa-Mandate bestätigt haben. Irgendwo läuft hier was schief.
Banken prüfen bei eingehenden Lastschriften nicht, ob eine Einzugsermächtigung vorliegt. Die Prüfung, ob Buchungen korrekt sind, ist alleinige Aufgabe des Kontoinhabers. Dafür gibt es die Möglichkeit, eine Lastschrift auch nach mehreren Wochen zurückzuholen.
Eine Einzugsermächtigung (egal ob auf Papier mit Unterschrift oder online) ist nur im Falle einer widerrufenen Lastschrift von Bedeutung. Wenn der Empfänger sein Geld einfordert und der Bank eine gültige Einzugsermächtigung vorlegen kann, dann ist der Widerruf des Kontoinhabers unwirksam und die Lastschrift wird ausgeführt. Kann er diese nicht nachweisen, erhält er auch kein Geld.
Also ich bin auch gerade komplett sprachlos. Ohne irgendwelche Prüfungen so eine Gastkonto-Abbuchung von fremden Bankkonten durchzuführen, die nicht mal mit Paypal-Konten verknüpft sind – also ich kapier nicht mal, wie sowas überhaupt zulässig sein soll.
Danke für den Hinweis, Günter!
> Geschädigte haben nur die Möglichkeit (…) eine Rückbuchung der Lastschrift über die Bank zu veranlassen (…) Ärger natürlich inbegriffen.
Ärger und immer häufiger eine schlechte Bonität. Denn man landet zunächst automatisiert in den Standard-Prozessen im Topf mit säumigen Zahlern. Da heraus zu kommen wird meist erst am Ende des längeren Prozesses möglich sein, wenn tatsächlich ein Jurist sich der Sache annimmt. Ein Inkasso hat nur einzutreiben und i.d.R. gar kein Auftrag/Mandat da zu evaluieren oder eine Sachverhalt aufzuklären.
Dieses Verfahren mit dem Gastkonto gehört abgeschafft!
das wird am eigentlichen Problem aber nichts ändern.
Warum? Das ermöglicht immerhin PayPal zu nutzen ohne sich dort ein Konto anlegen zu müssen und macht auch nichts anderes als viele Shops. Wie schon geschrieben ändert das ja ohnehin nichts daran dass Lastschriften (auch schon vor SEPA) genau das ermöglichen sollen. Die unberechtigte Nutzung ist strafbar. Auf SEPA Mandate will doch niemand ernsthaft verzichten.
"Das ermöglicht immerhin PayPal zu nutzen ohne sich dort ein Konto anlegen zu müssen und macht auch nichts anderes als viele Shops."
Mal abgesehen warum es PP ohne Konto sein muss, so könnte doch zumindest das Verfahren abgesichert werden. Wer so bezahlen möchte (egal ob per PP Gast oder einfach nur durch Angabe der IBAN beim Kaufabschluss), der soll halt als Verifikation einen Code eingeben, der via 0€ Buchung auf dem Konto angezeigt wird. Kann dann ja im Kundenkonto als verifiziert für Käufer X & Anschrift Y gespeichert werden.
Warum wird es nicht gemacht? Weil es eine Hürde beim Kauf ist, wo X% der Leute abbrechen und an der Stelle interessiert nur der Kaufabschluss. Die Schäden für die Händler sind noch nicht groß genug, damit die X Cent für eine Verifizierung ausgegeben werden.
Warum es nicht gemacht wird? Weil PayPal in der Vergangenheit für die Verifizierung von KK oder IBAN mit solchen Buchungen mind. 3 Werktage oder so benötigt hat.
Ich weiß zwar nicht, ob das noch möglich ist. Wolfgang Rudolph der Betreiber von "cc2tv" hatte mal ärger mit einer App eines Discounters. Fremde haben seine Bankdaten, wohl die vom Spendenkonto benutzt und mit der App des Discounters bezahlt, weil keine Prüfung stattfand.
Natürlich ist das noch möglich. Wer soll denn da was prüfen?
Jeder, der Deinen Namen, Deinen Wohnort und Deine IBAN kennt, kann damit überall, wo per Lastschrift bezahlt werden kann, einkaufen. Hat mit Paypal speziell überhaupt nichts zu tun.
Wenn sich dieser Betrug verbreitet, wird man wohl irgendwann für Lastschriften ein Äquivalent zum Kreditkarten-"3DSecure" einführen. Die Deutsche Bahn, die wohl häufiger Opfer davon wird, hatte neulich ja mal so etwas Ähnliches im (Pilot-?)Betrieb, wobei die beauftragte Firma für mich leider nicht in eine Kategorie gefallen ist, der ich meine Bankdaten anvertrauen würde.
An sich ist das ja ein altes Problem und PayPal-Gastkonto ist nur eine weitere Stelle, wo man eine fremde Bankverbindung missbrauchen kann.
Ich war vor nun fast 20 Jahren Administrator bei einem inzwischen nicht mehr existenten Verlag für Lexika und Wörterbücher. Dort hatten wir auch einen Online-Shop mit Bankeinzug (viele unserer Kunden kamen aus dem semi-öffentlichen Bereich, da gab/gibt es sowas wie Paypal de facto gar nicht) – und wir hatten täglich(!) Versuche, mit missbrauchten Bankdaten einzuklaufen, gerne auch von Finanzämtern oder Behörden (die entgegen anderer öffentlicher Stellen nie mit Bankeinzug einkaufen). Ich hab in zwei Jahren in dieser Tätigkeit sicher eine vierstellige Anzahl von Strafanzeigen gestellt, doch war die Anzahl der Ermittlungserfolge nur zweistellig und die Zahl der Verurteilungen genau bei 0.
Die Masche gibt es also schon sehr lange und ich finde es verwunderlich, dass es bisher keine Lösung für das Problem gibt.
Man kann sich aber selbst helfen (zumindest so lange man kein Shop ist und auf Bankeinzug angewiesen):
Erstmal gebe ich keinem Shop meine Bankverbindung; Kredit-/Debitkarte, PayPal oder Apple Pay müssen reichen. PayPal sollte natürlich mit 2FA abgesichert sein.
Zweitens habe ich für meine Konten eine Benachrichtigung für jede Transaktion per Mail eingerichtet. So kann ich zeitnah auffällige Buchungen entdecken.
Drittens benutze ich, wenn ich jemanden für eine Erstattung o.ä. eine Kontoverbindung mitteilen muss, die eines Tagesgeldkontos bei der gleichen Bank. Von diesem kann man nicht abbuchen, nur einzahlen (kann man übrigens auch beim FA machen, falls man nicht Opfer eines wildgewordenen Sachbearbeiters werden möchte, der einem erstmal x-stellige Summen vom Konto räumt um dann Wochen später zu merken, dass er einen Fehler gemacht hat, btdt).
Man kann sich auch den Spaß machen und jedem Shop eine andere E-Mail-Adresse geben. So findet man unsichere Shops schnell sobald man SPAM/Betrugsversuche auf die einschlägige Adresse bekommt. Man kann bestimmte Aliase dann auch einfach in den Killfile erden; gegen die Shops vorgehen oder gar den DSB zu informieren, bringt idR gar nichts (auch hier btdt).
Das mit der "personalisierten Email" für jeden Shop mache ich genauso seit 20 Jahren. Meist noch in Kombination mit einer Jahreszahl. Da sieht man sofort, welcher Shop seine Daten nicht im Griff hat und diese Weiterverkauft.
Und es gab sehr früh doch einen deutschen Mikropayment Betreiber, der sogar relativ weit verbreitet war und ich bevorzugt neben Paypal nutzte: Clickandbuy, er verließ uns irgendwann um 2014 herum meine ich.
Das mit dem Tagesgeldkonto und dem Finanzamt klappt auch nur begrenzt. Wenn Du eh schon einen Dir nicht genehmen Bearbeiter hast, haut der als Reaktion eine Pfändung raus. Dann separiert die Bank auch von Deinem Tagesgeldkonto das Geld weg. Denn die Zahlungsverpflichtung bei einem Bescheid besteht, auch wenn dieser im Nachhinein irrtümlich war oder korrigiert wurde.
Die Masche funktioniert deshalb so gut, weil damals(tm) in der Vor-Internet-Zeit (in den 80er und 90er) Banken sowas noch meist manuell gegen prüften. Wurde wegrationalisiert. Der Schaden entsteht ja bei anderen. Bei "besseren Kunden" machen das die Banken noch. Dann gibt es einen kurzen Anruf des persönlichen Beraters, ob diese ungewohnte Abbuchung okay ist.
Das Problem ist, dass eine gültige IBAN alleine ausreicht um diesen Betrug durchzuführen. Würde eine weitergehende Überprüfung gegen andere Merkmale (Name, Addresse, Versandaddresse, Kennwort, u name it …) durchgeführt, hört der Spuk auf oder geht mindestens drastisch zurück.
Ich verstehe nicht, warum man solchen Betrügern nicht über die Packstation beikommt. Dort muss man ja eine registrierte DHL-Kundennummer und die App haben, um etwas aus der Packstation abholen zu können. Da ist also normalerweise Name und Adresse hinterlegt.
Elektronische Güter (z.b. Gutscheine) mit Versand an Email-Adresse?
Fahrkarten mit Fake-Namen? (Theoretisch nur gültig mit Ausweis, wird praktisch aber so gut wie nie überprüft.)
Strohmänner, vorzugsweise im Ausland?
Fake-Adresse (z.B. nicht existierender Name in einem Vielfamilienhaus), vorzugsweise im Ausland?
…
So doof, sich erschwindelte Güter unter ihrem echten Namen an ihre echte Adresse schicken zu lassen, wird die durchschnittliche Betrügerin schon nicht sein.
> benötigen nur eine gültige IBAN und irgend ein PayPal-Konto.
vs.
> Der Betrug kann also auch Leute treffen, die kein PayPal-Konto besitzen.
Die erste Ansage scheint so wohl nicht zustimmen.
Es braucht dazu NUR eine IBAN und einen "freundlichen" Verkäufer,
der "Paypal mit Gast-Konto" als Zahlung anbietet.
Es braucht dazu eben KEIN Paypal-Konto, da Paypal
hier nur den "Zahlungsdienstleister für SEPA-Überweisungen"
spielt, völlig unabhängig von allen anderen Paypal-Funktionen
und damit auch unabhängig von Paypal-Konten…
LÖSUNG:
Drei mal selber etwas per Gastkonto und der eigenen IBAN bestellen und so das Limit ausschöpfen.
Klingt listig und auch logisch ;)
D.h. die dabei verwandte IBAN ist dann quasi für immer verbrannt (bei Paypal) ?