Achtung! PayPal-Betrug mit eigener E-Mailadresse!

Konsument/innen erhalten von PayPal eine Benachrichtigung darüber, dass sie ihre E-Mailadresse für die Eröffnung eines Kontos bestätigen sollen.

Wie unser Kooperationspartner Watchlist Internet berichtet, wurde das Konto von Kriminellen eröffnet. Sie kaufen mit der fremden E-Mailadresse und erfundenen Daten ein. Die Rechnungen und Mahnungen dafür erhalten die Opfer. Diese müssen die offenen PayPal-Forderungen nicht bezahlen.

Konsument/innen, die sich nie bei PayPal registriert haben, erhalten eine Benachrichtigung darüber, dass sie Ihre E-Mailadresse zur Eröffnung eines PayPal-Kontos bestätigen sollen. Ohne weiteres Zutun ist innerhalb von kürzerster Zeit davon die Rede, dass Konsument/innen ein SEPA-Lastschriftmandat akzeptiert haben:

Das SEPA-Lastschriftmandat wurde akzeptiert

Guten Tag, Vorname Nachname!

Vielen Dank, dass Sie das SEPA-Lastschriftmandat akzeptiert haben. Ihr Konto bei der Sparkasse Sudliche Weinstrasse in L () wurde Ihrem PayPal-Konto hinzugefügt.

Nachdem Sie nun das Mandat akzeptiert und Ihr Konto hinzugefügt haben, können Sie:

– direkt mit Ihrem Bankkonto bezahlen,
– ohne Angabe Ihrer Finanzdaten zahlen,
– mit wenigen Mausklicks bezahlen.

Bankkonto:
Gläubiger-ID für PayPal: LU96ZZZxxxxxxxxxxxxxxxxxxx
Mandatsreferenz: 4BLxxxxxxxxxx

Bewahren Sie diese Nummer gut auf. Sie finden die Informationen auch in Ihrem PayPal-Konto.

In einem nächsten Schritt fordert PayPal Nachrichten-Empfänger/innen dazu auf, dass „Sie jetzt Ihr Bankkonto“ bestätigen sollen. Es folgen Zahlungsanweisungen des Kreditunternehmens: „You sent a payment of €179,00 EUR to Vorname Nachname“ oder „Sie haben eine Zahlung über 3,19 EUR an Vorname Nachname gesendet“.

Unbestätigte Bankverbindung

Konsument/innen wissen nicht, was es mit den PayPal-Benachrichtigungen auf sich hat, denn sie sind weder Kunden des Untenrehmens noch haben sie sich bei dem Anbieter registriert. Das führt dazu, dass sie offene Beträge direkt an PayPal bezahlen sollen:

„Sie haben am xx.xx.2018 Ihr Bankkonto (x-xxxx) in Ihrem PayPal-Konto hinzugefügt. Mit dieser E-Mail möchten wir Sie daran erinnern, dass der Vorgang noch nicht abgeschlossen ist.“

„Wir haben eine automatische Antwort von Ihrer Bank erhalten, aus der hervorgeht, dass das Bankkonto, das Sie für diese Zahlung verwenden wollten, geschlossen wurde.

Aus diesem Grund können wir für diese Transaktion Ihr Bankkonot nicht belasten. Wir werden nicht wieder versuchen, den Betrag von Ihrem Bankkonto einzuziehen.

(…)

Um die Zahlung abzuschließen, haben wir den Transaktionsbetrag von Ihrem PayPal-Guthaben abgebucht. Dadurch ist Ihr PayPal-Konto ins Minus geraten.

Bitte loggen Sie sich in Ihr PayPal-Konto ein und zahlen Sie Geld ein, um Ihr Konto auszugleichen.

Außerdem haben wir die Bearbeitungsgebühr Ihrer Bank in Höhe von 1,65 Euro von Ihrem PayPal-Konto abgebucht.“

Nachfolgend der Auszug einer solchen PayPal-Nachricht:

Schließlich entfernt PayPal das unbekannte Bankkonto aus dem PayPal-Konto der Datendiebstahlsopfer und versendet Mahnungen an die Konsument/innen. Sie sollen den offenen Betrag bezahlen, andernfalls muss PayPal „die Forderung an ein externes Inkassounternehmen weiterleiten“.

Wieso erhalten Opfer ungewollte PayPal-Nachrichten?

Konsument/innen berichten, dass sie niemals ein PayPal-Konto eröffnet haben beziehungsweise Kund/innen bei dem Unternehmen waren. Das spricht dafür, dass Datendiebe die E-Mailadresse ihrer Opfer nutzen, damit sie bei dem Anbieter ein Konto eröffnen.

Ist es den Datendieben möglich, das betrügerische PayPal-Konto zu eröffnen, nennen sie dem Kreditunternehmen fremde Bankdaten und kaufen im Namen ihrer Opfer ein. Das alles geschieht innerhalb von sehr kurzer Zeit.

PayPal versendet um 09:56 Uhr die E-Mail, mit der sie Empfänger/innen dazu auffordert, dass sie ihre E-Mailadresse bestätigen sollen:

Um 09:56 Uhr fordert PayPal die Bestätigung der E-Mailadresse

Bereits eine Minute später versendet PayPal eine weitere Benachrichtigung an Opfer, in denen von einem akzeptierten SEPA-Lastschriftmandat die Rede ist:

Um 09:57 Uhr versendet PayPal eine Benachrichtigung darüber, dass ein SEPA-Lastschriftmandat akzeptiert wurde.

Noch in der selben Minute informiert PayPal Empfänger/innen darüber, dass ein Bankkonto dem Konto hinzugefügt wurde:

Ebenfalls um 09:57 Uhr informiert PayPal darüber, dass ein Bankkonto dem Konto hinzugefügt wurde.

Bereits um 09:58 Uhr und damit zwei Minuten nach der ersten Benachrichtigung versendet PayPal eine Rechnung an Opfer:

Bereits zwei Minuten nach der ersten PayPal-Nachricht erhalten Opfer eine Rechnung.

Die sehr kurze Zeitspanne von zwei Minuten zwischen der ersten Benachrichtigung darüber, dass Opfer ihre E-Mailadresse bestätigen sollen, und dem Erhalt einer Rechnung spricht dafür, dass es bei PayPal eine Sicherheitslücke gibt.

Sie ermöglicht es Kriminellen, ohne bestätigte E-Mailadresse Einkäufe zu tätigen. Dadurch erhalten Verbrecher/innen bestellte Ware, ohne dafür bezahlen zu müssen. Konsument/innen hingegen werden mit Mahnungen von PayPal konfrontiert und sollen offene Forderungen an das Unternehmen bezahlen, ohne dass sie ein PayPal-Konto eröffnet haben.

Müssen Opfer die PayPal-Rechnungen bezahlen?

Nein, Opfer dieses PayPal-Betrugs müssen kein Geld an das Unternehmen bezahlen, denn dafür gibt es keinen Rechtsgrund. Sie haben keinen kostenpflichtigen Vertrag abgeschlossen und kein PayPal-Konto eröffnet. Am besten ist es, wenn Opfer das dem Unternehmen mitteilen. Es muss sich an den Verbrecher/innen dieses Betrugs schadlos halten.

Was sollen Opfer tun?

Opfer sollen ihr E-Mailkonto sichern, denn es besteht die Gefahr, dass Fremde Zugriff darauf haben. Bevor sie dazu ihr Passwort ändern, ist es notwendig, dass sie mit einem aktuellen Antivirenprogramm ihre Endgeräte auf Schadsoftware untersuchen und diese gegebenenfalls entfernen.

Zusätzlich zu einem neuen Passwort sollen Konsument/innen ihr Postfach mit der Zwei-Wege-Authentifizierung schützen. Sie sorgt dafür, dass Kriminelle allein mit dem Passwort ihrer Opfer keinen Zugriff auf fremde Konto erlangen können, denn der E-Mailanbieter versendet bei jedem Anmeldevorgang eine SMS mit einem PIN, den Kund/innen zusätzlich zu ihrem Kennwort beim Login nennen müssen.

Opfer müssen ebenfalls umgehend PayPal kontaktieren und das Kreditunternehmen darüber informieren, dass es ein betrügerisches Konto unter ihrer E-Mailadresse gibt. Zu guter Letzt können sie Strafanzeige bei der Polizei erstatten.