Apple Pay und Google Pay sind zwei der beliebtesten mobilen Zahlungssysteme, die in Deutschland weit verbreitet sind. Leider werden diese praktischen Zahlungsmethoden zunehmend von Betrügern ausgenutzt. Es gibt verschiedene Betrugsvarianten, bei denen diese Systeme missbraucht werden, um unbefugte Zahlungen vorzunehmen. In diesem Beitrag erklären wir, wie diese Betrugsfälle ablaufen und was Sie tun können, um sich zu schützen und Ihre Rechte durchzusetzen.

Apple Pay und Google Pay: Ein Überblick

Apple Pay und Google Pay sind moderne mobile Zahlungssysteme, die auf den Technologien Near Field Communication (NFC) und Tokenisierung basieren, um sicher und kontaktlos Zahlungen abzuwickeln.

Apple Pay ermöglicht es Nutzern, in Geschäften und online über ihr iPhone oder andere Apple-Geräte zu bezahlen. Die Bezahlung erfolgt durch Halten des Geräts an ein NFC-Zahlungsterminal oder durch Auswahl der Apple Pay-Option beim Online-Kauf. Die Transaktionen werden durch biometrische Authentifizierung (Touch ID oder Face ID) oder durch den Passcode des Geräts bestätigt.

Technologie und Sicherheitsmerkmale:

  • Tokenisierung: Bei der Aktivierung von Apple Pay wird die Debit- oder Kreditkarte des Kunden durch die Bank in einem speziellen Sicherheitschip, dem „Secure Element“, als Token verarbeitet. Dieser Token ersetzt die physischen Kartendaten und wird sicher im Gerät gespeichert.
  • Secure Element: Dieses Hardware-Element agiert ähnlich wie ein Chip auf einer physischen Karte und schützt die gespeicherten Zahlungsdaten vor unbefugtem Zugriff.
  • Dynamische Authentifizierung: Das Smartphone generiert einen dynamischen Authentifizierungscode aus den Token-Daten, der für jede Transaktion einzigartig ist. Dies ermöglicht der Bank, den Kunden anhand des Besitzes des Geräts zu authentifizieren, ohne sensible Daten direkt zu übermitteln.
  • Zwei-Faktor-Authentifizierung: Zahlungen werden durch zwei unabhängige Faktoren gesichert: den Besitz des Smartphones und die biometrische Authentifizierung (Touch ID oder Face ID) oder den Passcode. Dies schützt vor unbefugtem Zugriff, selbst wenn das Gerät gestohlen wird.


Google Pay funktioniert nach einem ähnlichen Prinzip, wobei es auf Android-Geräten verfügbar ist und ebenfalls NFC zur Durchführung kontaktloser Zahlungen nutzt. Die Karte wird ebenfalls als Token im Gerät gespeichert und die Authentifizierung erfolgt durch PIN, Passwort oder biometrische Merkmale.

Wichtige Sicherheitsaspekte:

  • Kein Zugang zu Kartendaten: Händler erhalten keine direkten Kartendaten vom Zahlungssystem. Stattdessen wird lediglich bestätigt, dass die Zahlung erfolgreich war.
  • Schutz vor Relay-Angriffen: Aufgrund der erforderlichen biometrischen Authentifizierung sind Relay-Angriffe, bei denen ein Betrüger versucht, das Smartphone aus der Ferne zu kontaktieren, praktisch nicht möglich.


Betrugsmodus 1: Apple Pay und Google Pay ohne direkten Kontakt zu den Betrügern

Vorgehensweise der Betrüger:

  1. Datenbeschaffung: Die Täter erlangen persönliche Informationen durch Phishing oder Datenlecks. Den bisherigen von uns betreuten Fälle bzgl. diesem Betrugsmodus ist Gemeinsam, dass die Betroffenen keinen Kontakt zu irgendeiner dritten Person wissentlich gehabt haben. Diese wurden weder angerufen noch haben Sie auf eine Phishing-Mail reagiert, oder einen ihnen unbekannten Link angeklickt oder beispielsweise im streitgegenständlichen Zeitraum eine neue App installiert, hinter der sich eine Malware hätte befinden können. Dies ist natürlich keine Garantie dafür, dass die Daten nicht doch über „Phishing-Fallen“ an die Betrüger gelangt sind, aber in der Regel merken die Betroffenen die Abbuchungen erst durch Zufall und ohne Vorwarnung.  
  2. Einrichtung des Zahlungssystems: Die Täter greifen auf das Online-Banking des Opfers zu und fügen Apple Pay oder Google Pay auf einem Gerät der Betrüger hinzu. Die Frage die sich hier stellt ist, warum dies so ohne eine weitere Kontrolle überhaupt möglich ist, ein neues Gerät zu hinterlegen, ohne dass dies noch einmal gesondert bestätigt werden muss. Gleichzeitig werden angeblich Bestätigungscode‘s oder TAN‘s von den Banken an die hinterlegte Handynummer verschickt, obwohl diese SMS bei den Betroffenen gar nicht angekommen sind oder erst wesentlich später entdeckt werden, als hätten die Täter verhindert, dass diese SMS per Pushbenachrichtigung angezeigt werden. Es besteht die Möglichkeit, dass diese SMS auch in einem Cloudservice hinterlegt werden, auf welches die Täter ggf. auch Zugriff besitzen und so die entsprechenden Bestätigungscodes abfangen können. Oft lässt sich der konkrete Betrug im Detail nie vollständig aufklären.
  3. Durchführung der Transaktionen: Die Betrüger nutzen das hinzugefügte Zahlungssystem für unautorisierte Käufe, die dem Konto des Opfers belastet werden. Oft werden diese Zahlungen dann ins Ausland überwiesen. Hier ist von Südkorea bis Italien alles möglich.

Prävention und Reaktion:

  • Starke Passwörter und Zwei-Faktor-Authentifizierung: Verwenden Sie komplexe Passwörter und aktivieren Sie die Zwei-Faktor-Authentifizierung für Ihre Konten. Oft ist diese gar nicht aktiviert, obwohl dies für die Banken eine Verpflichtung ist. Eventuell kann an diesem Punkt schon ein Sorgfaltspflichtverstoß der Bank gesehen werden.
  • Regelmäßige Kontenüberwachung: Überprüfen Sie regelmäßig Ihre Kontoauszüge und aktivieren Sie Benachrichtigungen für Transaktionen.
  • Sofortige Reaktion: Informieren Sie sofort Ihre Bank und sperren Sie Ihre Konten, wenn Sie verdächtige Aktivitäten bemerken. Erstatten Sie Anzeige bei der Polizei.


Betrugsmodus 2: Phishing-Anrufe für z.B. virtuelle Debitkarten

Vorgehensweise der Betrüger:

  1. Phishing-Anruf: Betrüger geben sich am Telefon als Bankmitarbeiter aus und fordern persönliche Daten oder Bestätigungen von AGBs oder warnen vor nicht autorisierten Abbuchungen, die man schnell zurückholen müsse. In der Regel wird hier schon direkt die Nummer der Bank „geklont“ und von dieser das Opfer angerufen, sodass gezielt eine Situation für den Betroffenen geschaffen wird, in der er sich sicher fühlt, weil es die ihm bekannte Telefonnummer der Bank ist, die ihn anruft. Diese Variante funktioniert sowohl in den etwas dörflicheren Regionen, weil man auch dort nicht jeden Bankmitarbeiter mit Namen kennt, als auch bei den großen „Online-Banken“, wo man als Kunde durchgehend immer andere Sachbearbeiter vor sich hat und unzählige Personen im Service arbeiten. Insbesondere die Bestätigung von AGB’s ist eine beliebter Betrugssituation, weil die Täter scheinbar wissen, dass die AGB’s noch bestätigt werden müssen. Oft haben die Täter schon zu diesem Zeitpunkt Zugriff auf das Online-Banking und Wissen, dass das Opfer, die AGB’s noch bestätigen muss. Dieses Täterwissen sorgt natürlich für ein weiteres Sicherheitsgefühl.                                                                 Aber auch bei der Warnung vor angeblich bereits getätigten Abbuchungen fällt insbesondere auf, dass die Täter den konkreten Ablauf der jeweiligen Bank vollständig kennen und dasselbe Protokoll durchlaufen. Nicht selten kommt es vor, dass Betroffene schon Monate oder Jahre vorher tatsächlich eine legitime Sperrung der Karte von Seiten der Bank bekommen haben, wegen des Verdachts auf Betrugsversuche, sodass der jetzige Ablauf der Betrüger ebenfalls den Kunden in eine Art Sicherheit fallen lässt und er so viel gewillter ist, entsprechende Informationen herauszugeben.
  2. Virtuelle Debitkarte: Mit den erhaltenen Informationen erstellen die Betrüger eine virtuelle Debitkarte und verknüpfen diese mit dem Konto des Opfers. Eine solche virtuelle Debitkarte lässt sich ebenfalls mit Apple Pay/Google Pay aktivieren.
  3. Durchführung der Transaktionen: Die Betrüger nutzen die virtuelle Karte für zahlreiche Abbuchungen. Diese Art von Abbuchungen erfolgen dann oft persönlich durch die Täter, in dem Sie in Supermärkten schnell und vermehrt Geld abheben, bis der Betrug auffliegt und die Karten gesperrt werden. Bis dahin kann schon ein enormer Schaden entstanden sein.  

Prävention und Reaktion:

  • Vorsicht bei Telefonanrufen: Geben Sie keine persönlichen Informationen am Telefon weiter und nutzen Sie die offiziellen Kontaktkanäle Ihrer Bank. Eventuell können Sie den „Bankmitarbeiter“ kurz vertrösten und Ihm erklären, dass Sie auflegen und selbst aus Sicherheitsgründen bei der Bank anrufen möchten. Gut möglich, dass der vermeintliche Bankmitarbeiter, dass Gespräch dann von sich aus beendet.
  • Sichere Kommunikation: Stellen Sie sicher, dass Sie Kontaktinformationen direkt von Ihrer Bank erhalten und nutzen Sie nur diese, um Anfragen zu stellen.
  • Sofortige Reaktion: Informieren Sie sofort Ihre Bank und sperren Sie Ihre Konten, wenn Sie verdächtige Aktivitäten bemerken. Erstatten Sie Anzeige bei der Polizei und verlangen Sie ggf. von der Bank sämtliche technische Unterlagen die eine angebliche Autorisierung „beweisen“ sollen. Dies können aber auch selbstverständlich wir für Sie erledigen.
  • Rechtsberatung: Wenn Ihre Bank den Schaden nicht übernimmt, sollten Sie sich an einen spezialisierten Anwalt wenden, um Ihre Ansprüche durchzusetzen.


Haftung im Falle eines Betrugs

Bei Betrugsfällen mit Apple Pay oder Google Pay und virtuellen Debitkarten ist in der Regel die Bank verantwortlich, den Schaden zu übernehmen, insbesondere bei nicht autorisierten Zahlungen. Die Haftung kann jedoch variieren, wenn dem Opfer grobe Fahrlässigkeit vorgeworfen wird. Die Überprüfung der groben Fahrlässigkeit ist eine Einzelfallbetrachtung. Jeder Betrug ist anders, jede Situation, Vorerfahrung und Kenntnisse des Bankkunden sind anders, sodass jeder Fall gesondert überprüft werden muss. Weiterhin stellt sich auch die Frage einer Nachhaftung der Bank, da die Zahlungen oft ins Ausland getätigt werden und die Kommunikationen mit den Banken und deren internen Überprüfungen sich so lange hinziehen, dass mögliche Fristen ablaufen und das Geld ohne weiteres nicht mehr zurückgeholt werden kann.

Fazit

Durch präventive Maßnahmen und schnelles Handeln im Betrugsfall können Sie sich effektiv gegen Betrug mit Apple Pay und Google Pay schützen. Bei Verdacht auf Betrug ist es wichtig, umgehend zu handeln und gegebenenfalls rechtliche Schritte zu unternehmen, um Ihren finanziellen Verlust zu minimieren.

Sollten Sie Beratungsbedarf haben dann schreiben Sie uns eine E-Mail an [email protected] oder nutzen Sie unser Kontaktformular auf unserer Homepage www.lindenthal-schmidt.de oder rufen uns an unter der Nummer: 0441 20 572 407.

Ob außergerichtlich oder vor Gericht – wir vertreten Ihre Interessen nachdrücklich und konsequent.

In Oldenburg und bundesweit.