In de Nederlandse media kwam ik het nog niet tegen: het bericht dat Paypal fraudeurs in staat stelt om betalingen vanaf bankrekeningen van derden te doen. Golem schrijft [1] dat een Duitse consumentenbond, de Verbraucherzentrale Nordrhein-Westfalen, er voor waarschuwt. De bond schrijft [2]:

De term “guest account scam” wordt op internet gebruikt om een fraude via PayPal te beschrijven waarbij criminelen IBAN’s van andere mensen misbruiken om aankopen te doen. De gedupeerden worden nauwelijks beschermd.

Het artikel wordt als volgt samengevat (machinevertaling):

• Criminelen kunnen ongeautoriseerde rekeninggegevens gebruiken om online aankopen te doen – bijvoorbeeld via PayPal.
• Getroffenen moeten bezwaar maken tegen ongeautoriseerde vorderingen en aangifte doen bij de politie.
• Je kunt ongeautoriseerde afschrijvingen door je bank laten terugboeken.

De problematiek is breder dan alleen Paypal schrijft de bond [3]:

Het probleem van identiteits- en IBAN-diefstal is zeker niet beperkt tot PayPal. In 2021 waren er bijvoorbeeld berichten over een app van een discounter waarmee aan de kassa betaald kon worden door een willekeurige IBAN in te voeren. Momenteel is het blijkbaar ook mogelijk om met een willekeurige IBAN in te schrijven op Duitse tickets van verschillende vervoersmaatschappijen en bieden criminelen deze tegen lagere prijzen te koop aan. Criminelen kunnen de betrokken rekeningnummers uit allerlei bronnen halen: uit eerdere datalekken bij bedrijven of uit succesvolle hackaanvallen, uit databases op het darknet, door gegevens te verzamelen met behulp van dubieuze prijsvragen – uiteindelijk kunnen we alleen maar speculeren over de herkomst.

Het maakt duidelijk dat er aan het systeem van betalen iets schort. Het hoort niet mogelijk te zijn om met alleen een bankrekeningnummer betalingen uit te kunnen voeren.

Noten:

[1] VERBRAUCHERZENTRALE WARNT: Betrüger bezahlen mit Paypal über fremde Bankkonten, 17 december 2024.
[2] Wie Kriminelle das “Bezahlen ohne PayPal-Konto” missbrauchen, 18 december 2024.
[3] Machinevertaling van: “Das Problem des Identitäts- und IBAN-Diebstahls betrifft längst nicht nur PayPal. So gab es 2021 Meldungen über die App eines Discounters, mit der man durch Eingabe einer beliebigen IBAN an der Kasse bezahlen konnte. Auch aktuell lassen sich Deutschlandtickets bei verschiedenen Verkehrsverbünden offenbar über eine beliebige IBAN abonnieren und werden zu günstigeren Preisen von Kriminellen zum Verkauf angeboten. Die betroffenen Kontonummern können Kriminelle aus unterschiedlichsten Quellen haben: aus früheren Datenlecks bei Unternehmen oder aus erfolgreichen Hacking-Angriffen, aus Datenbanken im Darknet, durch das Datensammeln mithilfe unseriöser Gewinnspiele – letztlich kann man über die Herkunft nur spekulieren.”