Ein Mann mit Sturmhaube sitzt mit Bankkarte in der Hand am Computer. Symbolbild für eine PayPal-Betrusgmasche.

PayPal-Betrug: So schützen Sie Onlineshop und Betroffene

/ E-Commerce / Von / Aktualisiert am 25. Februar 2025
Lesedauer 4 Minuten

PayPal ist aus Onlineshops nicht mehr wegzudenken. Das System hat sich aufgrund seiner Einfachheit als eine der beliebtesten Zahlungsmethoden etabliert. Doch nun ermöglicht es eine Schwachstelle Betrügerinnen und Betrügern, fremde Bankkonten über Gastzahlungen zu belasten – und am Ende so den Shop-Betreibenden zu schaden.

Zum Glück gibt es relativ einfache Abhilfe, mit der Sie diese Lücke in Ihrem Webshop schließen können. Wir erklären Ihnen, wie die Betrugsmasche abläuft und was Sie tun müssen, um Ihren Shop und Ihre Kundschaft zu schützen.

Gastzugang als neue PayPal-Betrugsmasche

Für die neue Betrugsmasche (WDR berichtete) wird der Gastzahlungsprozess von PayPal ausgenutzt. Die Option dazu – ein Button mit der Aufschrift „Mit Kredit- oder Debitkarte zahlen“ – findet sich unterhalb des Anmeldungsbuttons, wenn Kundschaft im Zahlungsvorgang an PayPal weitergeleitet wird.

Screenshot der PayPal-Anmeldung mit Gastzugang.
Mit der Option „Mit Kredit- oder Debitkarte zahlen“ können Kriminelle problemlos fremde IBANs zum Kauf von Waren nutzen.

Mit diesem Gastzugang können Menschen ohne PayPal-Konto über PayPal eine Zahlung tätigen. Die Zahlung wird anschließend per Lastschrift vom angegebenen Konto abgebucht.

Das Problem dabei: Während für die Bestätigung von gewöhnlichen Lastschriften zusätzliche Verifizierungen über TAN-Verfahren oder Zwei-Faktor-Authentifizierung stattfinden, entfällt dies beim PayPal-Gastzugang vollständig. Wer die IBAN hat, kann ohne Weiteres einkaufen.

Das bedeutet: Kriminelle können dort einfach wahllos fremde IBANs angeben, die Bankkonten belasten und Waren auf fremde Kosten bestellen.

Darum sollten Sie die Gastzugangslücke in Ihrem Shop schließen

Bei den Betroffenen sorgen die Abbuchungen erst einmal für Verwirrung – und einen potenziell enormen finanziellen Schaden. Das allein sollte schon Grund genug sein, um die Lücke als Shop-Betreibende unverzüglich zu schließen.

Da zusätzlich der gesamte Vorgang auch noch mit dem Namen Ihres Shops verbunden ist, entsteht außerdem ein Imageschaden. Die Betroffenen verbinden das negative Erlebnis mit Ihrem Unternehmen.

Da es sich darüber hinaus um eine Bezahlung per Lastschrift handelt, kann diese für gewöhnlich über die eigene Hausbank rückgebucht werden. Das ist im Prozess mit PayPal zwar etwas komplizierter, aber durchaus gängige Praxis und die einzig sinnvolle Lösung für Betroffene, um das Geld wiederzubekommen.

Heißt für Sie: Sie versenden die Ware, bekommen auf Anweisung der Kriminellen das Geld vom Konto der Betroffenen – und es später von den Betroffenen wieder rückgebucht. Sie verlieren also Ware, erhalten dafür aber kein Geld und befinden sich schnell in einem komplexen Betrugsprozess, der aufgeklärt werden muss.

Neben dem generellen Schutz der Kundschaft gibt es also auch wirtschaftliche und imagetechnische Gründe, die dafür sprechen, diese Sicherheitslücke sofort zu schließen. Glücklicherweise lässt sich das Problem leicht beheben.

So schließen Sie die PayPal-Schwachstelle

Um die Schwachstelle im System zu schließen, können Sie im Rahmen Ihres im Shop hinterlegten PayPal-Geschäftskontos einfach den Gastzugang deaktivieren. Das geht mit ein paar wenigen Schritten:

  1. Loggen Sie sich in den hinterlegten PayPal-Geschäftsaccount ein
  2. Klicken Sie auf „Kontoeinstellungen
  3. Wählen Sie dort „Website-Zahlungslösungen“ aus
  4. Klicken Sie dort auf „Website-Einstellungen
  5. Deaktivieren Sie hier die Option „PayPal-Konto nicht erforderlich

Dadurch bieten Sie in Zukunft keine Option mehr, über PayPal ohne eigenes Konto zu bezahlen – und schon haben die Kriminellen in diesem Fall keinen Ansatzpunkt mehr.

Wenn Sie die Einstellungen korrekt vorgenommen haben, fällt der Button zur Gastzahlung weg und wird durch einen anderen ersetzt, der Login-Bereich für Kundschaft im Zahlungsvorgang sieht dann wie folgt aus:

Screenshot der PayPal-Anmeldung ohne Sicherheitslücke durch Gastzugang.
Der Button „Mit Kredit- oder Debitkarte zahlen“ wurde durch den Button „PayPal-Konto eröffnen“ ersetzt. Eine Zahlung per Gastzugang wird nicht mehr ermöglicht.

Schließen Sie jetzt die PayPal-Schwachstelle

Betrugsmaschen im E-Commerce sind gefährlich und schadhaft für Betroffene sowie Shop-Betreibende. Wenn es nun also – wie in diesem Fall – eine einfache Lösung gibt, sollten Sie diese schnellstmöglich ergreifen. Die Umstellung dauert nur wenige Minuten, erspart Ihnen und Betroffenen aber zukünftig finanziellen Schaden und viel Kopfschmerzen.

Daher empfehlen wir, dass Sie diese Schwachstelle sofort schließen. Andernfalls riskieren Sie nicht nur das wirtschaftliche Wohlergehen Ihres eigenen E-Commerce-Unternehmens, sondern auch das von den jeweils Betroffenen, deren IBANs geklaut wurden.

Da es sich um eine Einstellung innerhalb Ihres PayPal-Geschäftskontos handelt, müssen Sie diese Änderungen selbstständig vornehmen, da niemand außer Ihnen darauf Zugriff haben sollte. Wenn Sie Fragen dazu haben, stehen wir unseren Kundinnen und Kunden aber gerne beratend zur Seite. Sprechen Sie uns einfach an!

forty-four ist Ihre E-Commerce-Agentur aus Koblenz

Seit über 25 Jahren begleiten wir Unternehmen in der Welt des E-Commerce. Mit Fokus auf das Shop-System Shopware erstellen, verwalten und warten wir Onlineshops, die bei der Kundschaft ankommen und sich durch eine reibungslose und sichere Funktionsweise auszeichnen. Dabei bieten wir ein hohes Maß an Individualisierung und setzen auch anspruchsvolle Herausforderungen fachgerecht um. Sprechen Sie uns einfach an zu Ihrem Onlineshop!

E-Commerce mit forty-four