Mit einer relativ einfachen Methode ist es möglich, das eigene Guthaben beim Zahlungsdienstleister Paypal zu verdoppeln. Die dafür notwendige und aus offensichtlichen Gründen illegale Vorgangsweise hat der rumänische Sicherheitsexperte Razvan Cernaianu entdeckt.

Betrugsmasche mit drei Konten

Er erklärt auf Cyber Smart Defense, wie das Prinzip funktioniert. Notwendig sind drei Konten, von denen eines an ein reales Bankkonto gekoppelt ist. Von diesem wird schließlich ein Geldbetrag an einen der weiteren beiden Accounts übermittelt, die mit virtuellen Prepaid-Kreditkarten betrieben werden. Getarnt wird die Überweisung etwa als Zahlung für eine Ware.

Falsche Bezahlung, Weiterüberweisung, Rückforderung

Der Empfänger muss nun den Betrag an das dritte Konto weiterleiten, ehe vom Absenderkonto eine Rückforderung des Betrages erfolgt – etwa mit der Begründung, das bezahlte Produkt wäre nicht geliefert worden, wie Gulli.com zusammenfasst.

Weil beim Erstempfänger aber kein Guthaben mehr vorhanden ist, springt Paypal in die Bresche und erstattet das Geld. Der Betrüger erhält also sowohl die Rückerstattung und sichert sich auch das mittlerweile weiter geleitete Geld.

Paypal kennt Problem

Paypal ist das Problem bekannt, erklärt das Unternehmen gegenüber Chip. Durch verschiedene Sicherheitsmechanismen würden derlei Betrugsversuche zumeist abgefangen, bevor das Geld aus dem System wandere. Außerdem kooperiere man mit Behörden, um gegebenenfalls die Strafverfolgung aufzunehmen.

Cernaianu ist auch bekannt als ehemaliger Hacker unter dem Namen "Tinkode". Er hat in der Vergangenheit bereits eine Reihe von Webseiten großer Organisationen und Unternehmen gehackt, hatte den Betreibern aber über die Schwachstellen informiert und auf deren Behebung gewartet, ehe er damit an die Öffentlichkeit ging.

Keine Belohnung für Finder

Auch bei der Betrugsmethode auf Paypal war er so vorgegangen und hatte den Dienstleister über das Bug Bounty-Programm informiert, im Rahmen dessen Finder von Schwachstellen im System mit Geldprämien entlohnt werden. In diesem Falle allerdings weigerte sich Paypal, ihm "Finderlohn" auszuzahlen und berief sich darauf, dass es sich nicht um einen Bug im technischen Sinne handle. (red, derStandard.at, 24.6.2014)