In den vergangenen Wochen häufen sich Berichte über nicht autorisierte Abbuchungen, die im Zusammenhang mit Apple Pay stehen sollen. Auffällig ist, dass es sich meist um kleinere Beträge handelt – oft unter 30 Euro –, die im Ausland verbucht werden und im Buchungstext teilweise den Zusatz PayPal tragen.
Unklarer Hintergrund
Noch ist unklar, ob die Ursache tatsächlich in Apple Pay selbst zu suchen ist. Offiziell gilt der Dienst als besonders sicher, da die eigentliche Kartennummer nie an Händler weitergegeben wird. Stattdessen wird mit einem gerätespezifischen Token gearbeitet, der nur in Verbindung mit Face ID, Touch ID oder Gerätecode nutzbar ist. Aus diesem Grund halten viele Experten ein direktes Sicherheitsproblem bei Apple für eher unwahrscheinlich. Möglich wäre, dass zwischengeschaltete Zahlungsdienstleister oder unsichere Online-Shops eine Rolle spielen.
Warum Apple Pay als sicher gilt
Bei jeder Transaktion erzeugt Apple Pay einen einmaligen Sicherheitscode. Händler sehen dadurch weder die echte Kartennummer noch andere sensible Daten. Jede Zahlung autorisiert der Nutzer direkt auf seinem Gerät. Das System schließt Missbrauch im Grunde aus – es sei denn, Kartendetails wurden an anderer Stelle, etwa durch ein Datenleck, kompromittiert.
Vorsichtsmaßnahmen für Nutzer
Auch wenn noch keine endgültigen Erkenntnisse vorliegen, sollten Apple-Pay-Nutzer besonders aufmerksam ihre Kontobewegungen prüfen. Hilfreich können zudem folgende Schritte sein:
- Kartenumsätze regelmäßig kontrollieren
- Verdächtige Abbuchungen sofort reklamieren
- Virtuelle Karten neu generieren oder aus Apple Pay entfernen
- Geografische Sperren aktivieren, um Zahlungen außerhalb Europas oder einzelner Regionen zu blockieren
Diskussion geht weiter
In Foren und sozialen Netzwerken diskutieren Nutzer intensiv über die Vorfälle. Einige Nutzer vermuten, dass der Dienst direkt betroffen ist, während andere von klassischem Kreditkartenmissbrauch ausgehen, bei dem Betrüger Karten einsetzen, die zusätzlich in Apple Pay hinterlegt sind. Offizielle Stellungnahmen seitens Apple liegen bisher nicht vor.
Sowas in der Richtung hatte ich am 07. September via Paypal. Da wurden innerhalb von Sekunden 8x 69,81 USD von Shanghai Hode Information Technology Co.,Ltd abgebucht. Es hat 4 Wochen, mit viel Emailsverkehr und Telefonate und wiederholende Einsprüche gedauert, bis Paypal den Betrug endlich anerkannte und mir das Geld zurückgeholt hat.
Naja, damit unbefugte einfach über PayPal Abbuchungen durchführen können benötigen die ja eine gültige IBAN die mit deinem PayPal-Konto verknüpft ist, damit man dann mit der „Gastzahlung“ den Betrug durchführen kann.
Daher sollte die Frage lauten: Wie und Woher haben die Betrüger Ihre IBAN erhalten die mit Ihrem PayPal-Konto verknüpft ist?
Für alle anderen Bezahlungen muß man sich ja normalerweise auf dem PayPal-Konto einloggen, und Sie haben ja wohl hoffentlich 2FA aktiviert.
Ich habe zwar bei Paypal 2FA Aktiviert aber in nur 2 von 10 fällen Fordert Paypal von mir eine verifenzierung über die App.
Vllt. eine Frage der Einstellungen bei PayPal?
Ich muß mich jedenfalls bei jeder Onlinezahlung wo ich mit PayPal bezahlen will bei PayPal einloggen und muß mich per Authenticator-App (Google-Authenticator) mit einem 6 stelligen Zahlencode verifizieren.
Wie das mit Geld versenden an Freunde oder Verwandte ist und gehandhabt wird bei PayPal weiß ich nicht, da ich das nie mache und nie nutze.
Muss jede Bezahlung per Paypal durch das Einloggen im Paypal-Konto autorisieren. Und das Einloggen geht nur per E-Mail-Adresse vom Konto, Passwort und SMS auf mein primitives Handy. Die e-Mail-Adresse verwende ich sowieso nur bei Paypal.
Glaube du hast etwas missverstanden. Diese Abbuchungen wurden nicht über Paypal abgewickelt, es stand nur der Name Paypal davor. Bei mir war es Paypal Nguyen etc. Hatte aber nichts mit Paypal zu tun.
Ich denke es sollte so rüber kommen, dass es Paypal ist um keinen Verdacht zu schöpfen. Es ist mir kurz nach dem Italienurlaub passiert, deshalb denke ich dort das Problem war.
Bei der Gelegenheit, „faszinierend“ ist dass bargeldlose Zahlungen ohne einen Beleg zu wollen immer mehr Alltag sind. Bei 50 bis 100 Buchungen im Monat hat man kaum einen Überblick, danke ich. So läuft es dann mit Apple Pay, denn das ist die Masche, der Verbraucher merkt es nicht !
Naja, das ist aber ein sehr individuelles problem. Belege hat man ja dennoch, online. Kann man viel einfacher auslesen, verwalten und kontrollieren. Ist halt nichtmehr auf papier, sonst aendert sich nicht viel
Nachtrag: Das Problem könnte bei Apple selbst liegen und ist naheliegend. Im weltweiten Abrechnungssystem wird man den sorglosen Umgang in der Stückzahl der Abbuchungen erkannt haben. Das macht erfinderisch und begehrlich. Wer merkt schon auf seinem Konto die Abbuchung kleinerer Beträge. In einem Netzwerk können so Tausende abgezweigt werden. Apple hat ein echtes Problem die Leute zu identifizieren.
Das ist ein generelles Problem, sowohl bei Apple pay als auch Google pay, Samsung pay etc.
Dieses „deine Kontodaten werden durch einmaligen Token ersetzt und sind besonders sicher“ bringt überhaupt nichts, denn wenn ich was gekauft und danach zurückgegeben habe wurde es auf das Gleiche Konto gutgeschrieben. Also kann es keine einmalige Token gewesen. Und den Betrügern ist es egal welche Zahlen da stehen. Hauptsache das Konto existiert und können Geld abbuchen. Bei mir waren es nur 4,22€ die innerhalb von zwei Tagen erstattet bekommen habe. Aber es hätte auch ins Auge gehen können. Also sicherer ist es definitiv nicht.