Die Verbraucherzentralen warnen derzeit vor einer neuen Masche, die im E-Commerce für Aufsehen sorgt – die aber vor allem viele Kund:innen treffen kann. Bei der Gastkontomasche werden fremde Kontodaten dazu genutzt, im Internet einzukaufen.

Konkret berichtet die Verbraucherzentrale NRW von einem Fall, in dem ein Kunde eine Abbuchung seitens Paypal bezahlen soll. Diese wurde offenbar bei Paypal durch eine Inkassofirma gegenüber Paypal eingefordert. Nach den Erkenntnissen der Verbraucherschützer:innen muss dazu jemand eine alte Kontonummer des Geschädigten im Zuge einer Gastzahlung über Paypal angegeben haben.

Diese Gastzahlungen sollen dazu dienen, dass auch Kund:innen ohne explizites PayPal-Konto über den beliebten Dienst einkaufen können. Dabei übernimmt Paypal die Rolle eines Zahlungsabwicklers, der dafür zuständig ist, dass die Zahlung des Käufers per Lastschrift oder Kreditkarte auf dem PayPal-Konto des Händlers verbucht wird.

Paypal hat in diesem Fall offenbar nur oberflächlich und nicht ausreichend zuverlässig geprüft, ob die angegebenen Daten korrekt sind und auch demjenigen gehören, der sie angibt. Es ging wohl in erster Linie darum, dass die Zahlung durchgeführt werden kann. Hinzu kommt: Da kein vollständiges Benutzerkonto verknüpft ist, fehlt es häufig an Sicherheitsmechanismen wie der Zwei-Faktor-Authentifizierung.

Eine PayPal-Sprecherin erklärt dazu lediglich: „Paypal führt im Rahmen der Maßnahmen zu Risikomanagement und Betrugsprävention Sicherheitsprüfungen bei der Abwicklung von Zahlungen durch.“ Im konkreten Fall hat das wohl nicht ausgereicht – und der unschuldige Kontoinhaber, der zwar ein Konto bei dem Zahlungsdienst besaß, besagtes Bankkonto aber nicht (mehr) damit verknüpft hatte, hatte das Nachsehen und die Notwendigkeit, sich zu verteidigen.

Opfer von Gastkontobetrügereien bemerken den Missbrauch meist erst im Nachhinein, zum Beispiel durch unerklärliche Abbuchungen auf der Kreditkartenabrechnung oder unerwartete Bestellbestätigungen per E-Mail. In bestimmten Fällen kommt es auch vor, dass die Betrüger die E-Mail-Adresse des Opfers angeben, sodass das Opfer zumindest eine Bestätigung der Transaktion erhält.

Schutz ist also schwierig. Fraglich ist beispielsweise, warum Paypal Verbraucher:innen nur so unzureichend schützt und bei Gastkonten nicht etwa, wie sonst üblich, einen Cent-Betrag auf die angegebene IBAN überweist und einen Code in den Verwendungszweck schreibt, den man im Nachgang als Freischaltung zur Identitätsprüfung dann bei Paypal angeben muss.

Allerdings sind es offenbar auch manche Händler:innen, die nach den Worten der Verbraucherschützer:innen nicht genau genug hinschauen und etwa das Abschließen von Verträgen unter Angabe einer (nicht überprüften) IBAN ermöglichen. Die können dann beispielsweise auch aus bestimmten Leaks und Datenbanken von Unternehmen stammen, die in der Vergangenheit Opfer von Hacker:innen geworden sind. Denkbar sind auch entsprechende fiktive „Gewinnspiele“ oder sonstige Situationen, in denen Kontoverbindungsdaten erbeutet werden können.

Die Verbraucherschützer:innen warnen davor, die eigene IBAN ohne Not mit anderen zu teilen. Doch das ist insbesondere im Fall von Unternehmen leichter gesagt als getan – diese haben ja auf jeder Rechnung die eigene IBAN stehen.

Kund:innen, die Buchungen auf ihrem Kontoauszug finden, die sie nicht zuordnen können, sollten hierbei entsprechend umsichtig vorgehen. Wichtig ist erst einmal, dem zu widersprechen, was meist über die eigene Bank problemlos möglich sein sollte. Das ist innerhalb von acht Wochen problemlos möglich, beim Nachweis der Unrechtmäßigkeit des Abbuchungsvorgangs auch ganze 13 Monate. Wenn es dem eigenen Zahlungsverhalten nicht widerspricht, kann auch ein Limit bei der Kreditkarte sinnvoll sein, gegebenenfalls auch nur für Auslandsbuchungen.

Zusätzlich sollten Verbraucher:innen vorsorglich eine Anzeige wegen Betrugs gegen Unbekannt erstatten. Das hilft insbesondere, falls die Geschichte noch ein Inkasso-Nachspiel hat, besser weiter. Wichtig zu wissen ist auch, dass bei Bestreiten der Rechtmäßigkeit eines solchen Forderungsvorgangs kein Eintrag bei Auskunfteien wieder Schufa erfolgen darf. Doch auch hier kann es (natürlich) noch einiges an Schriftkram geben.

Schwierig und teilweise langwierig ist in diesem Zusammenhang laut Betroffenenberichten in Foren (etwa der Paypal-eigenen Community) auch die Kommunikation und Korrespondenz mit Paypal, insbesondere wenn jemand dort nicht ohnehin ein Konto betreibt. In der Paypal-Community finden sich etwa Konsument:innen, die nach eigener Aussage schon mehrfach Abbuchungen mit der eigenen Kontonummer hatten. Zu prüfen wäre hier allerdings auch, warum seitens der betreuenden Bank nicht eine neue Karte vergeben wurde.

Alarmiert sollten aber vor allem die Payment Service Provider und Zahlungsdienste sein, die nicht im Vorfeld die nötigen Vorkehrungen treffen. Denn die Gastkontomasche zeigt einmal mehr, dass auch weltweit agierende und etablierte Zahlungsdienste wie Paypal nicht vor Sicherheitslücken gefeit sind.