paysafecard – Anonymität war gestern

Im Sommer 2014 warb der Bezahldienstleister paysafecard noch damit, dass man mithilfe ihres sechzehnstelligen PIN-Codes «anonym und sicher im Internet bezahlen» könne. Doch wer tatsächlich versucht, die eigene IP-Adresse beim Einlösen des Guthabens mittels TOR oder diverser VPN-Anbieter zu verschleiern, erlebt sein blaues Wunder. Warum? Das anonyme Bezahlen ist dort schlichtweg unerwünscht. Wir haben uns einmal bei der Pressestelle der Wiener paysafecard.com Wertkarten GmbH erkundigt.

Noch immer vertreten viele Nutzer von paysafecard (PSC) die Ansicht, dass sie mit ihren bar gekauften Guthabenkarten online alle möglichen Waren oder Dienstleistungen erwerben können, ohne dabei Spuren zu hinterlassen. Diese Vorstellung sollte man aber besser schnell vergessen. Das stimmt so nämlich schon lange nicht mehr.

Good-bye Anonymität! Diese Meldung erhielten wir stets beim Versuch, mittels TOR-Browser zu bezahlen.

Die Vorbereitungen für unseren Testkauf fanden bei ALDI SÜD in Bergisch Gladbach-Frankenforst statt. Dort kauften wir für 10 Euro den PSC PIN-Code in bar, der so ähnlich wie ein Kassenbon aussieht (siehe Bild unten rechts). Ein anonymer Hinweisgeber hatte uns schon vor ein paar Wochen mitteilen lassen, dass PSC vielfach versucht, beim Bezahlvorgang an die IP-Adressen seiner Kunden zu gelangen. Der Grund dafür ist einfach: Das Unternehmen besitzt eine Banklizenz. Deren Schwesterunternehmen, die britische Prepaid Services Company Limited, wird von der Behörde Financial Conduct Authority (FCA) reguliert. Dementsprechend ist dieser Anbieter für Zahlungsdienste naturgemäß dazu verpflichtet, gegen Geldwäsche und andere juristische Verstöße aktiv vorzugehen. Als sicherer Hafen für Schwarzkopierer und Geldwäscher gilt PSC in Insider-Kreisen schon lange nicht mehr. In den Köpfen vieler Käufer hat sich dieses Bild aber noch nicht gewandelt.

Bezahlung verweigert! Das passiert beim Einlösen, wenn man via nVPN (VPN-Dienstleister) verbunden ist.

Nachdem wir diverse TOR Exit-Nodes erfolglos durchprobiert haben, war gestern der VPN-Anbieter nVPN dran. Wir haben uns dafür mit deren Server in Straßburg vom Datencenter von ovh.com verbunden, das erklärt auch die Fehlermeldung in der französischen Sprache (siehe Screenshot oben). Auf Deutsch lautet die Fehlermeldung:«Ihre Zahlung kann nicht erfolgen, weil Sie einen anonymen IP-Adressdienst verwenden. Bitte deaktivieren Sie es und versuchen Sie es nochmals oder kontaktieren Sie uns, wenn Ihre Zahlung weiterhin abgelehnt wird: [email protected]«.

Mehr Erfolg hatte am gestrigen Dienstag ein guter Bekannter der Redaktion, der ebenfalls mit unserem PIN-Code versuchte, einen kostenpflichtigen Account beim Downloading-Service Premiumize.me einzulösen. Der nutzt allerdings den VPN-Dienstleister PIA (privateinternetaccess.com) und wurde somit über einen anderen Server in den Niederlanden mit der Abwicklungs-Stelle von PSC verbunden. Dort klappte es. Der 30-Tage-Account bei Premiumize.me konnte mittels PIA auch ohne Angabe der eigenen IP-Adresse erworben werden.

Bezugnehmend auf unsere Presseanfrage antwortete uns am 11.08.2017 eine Public Relations und Communications Managerin von paysafecard:

(…) Die aktive Bekämpfung von Betrugsfällen im Zusammenhang mit paysafecard-PINs und die Unterstützung bei deren Verfolgung haben bei paysafecard höchste Priorität. Aufgrund geldwäscherechtlicher Bestimmungen ist paysafecard verpflichtet, eine paysafecard unverzüglich zu sperren oder den Vertrag zu kündigen, wenn unsererseits der Verdacht eines Betruges oder Missbrauches oder sonstige Sicherheitsbedenken bestehen.

Hinweise dazu, finden Sie in unseren Allgemeinen Geschäftsbedingungen, die auf unserer Webseite zur Verfügung gestellt werden.Der Punkt 6.4. weißt explizit auf eine eventuelle Sperrung aufgrund von Sicherheitsbedenken hin.

Im Punkt 4.5. finden Sie auch den Hinweis, dass es aus geldwäscherechtlichen Vorgaben auch manchmal zu einer Kundenidentifizierung kommen kann.

Wir hatten im Vorfeld in Erfahrung gebracht, dass es in den vergangenen Jahren vermehrt zu Guthaben-Sperren kam, die man nur mithilfe eines POSTIDENT Verfahrens wieder aufheben konnte. Weil man dabei allerdings in jedem Fall seine Identität preisgeben muss, haben die Betroffenen zu ihrem eigenen Schutz lieber auf ihr Guthaben verzichtet. Auf die Rückfrage, warum PSC-Karten überhaupt bei der Verschleierung der IP-Adresse gesperrt werden, bzw. warum man keine anonyme Einlösung erlauben will, erhielten wir die Antwort:

«Um die Sicherheit des Zahlungsprozesses unserer Kunden zu gewährleisten, gibt es einen risikobasierten Entscheidungsprozess, der bei Betrugsverdacht zur Sperrung von paysafecard PINs führen kann.»

Doch auch mit dieser sehr allgemein formulierten Aussage wollten wir uns nicht zufriedengeben. Auch die nächste E-Mail der Pressestelle fiel wieder sehr allgemein aus:

«Zum Thema Kartensperre bitten wir um ihr Verständnis, dass wir aus Sicherheitsgründen keine genauen Details über den exakten Prozess, der zu einer eventuellen Sperre führt nennen können. Wir möchten aber nochmals betonen, dass die Gewährleistung eines sicheren Zahlungsablaufs höchste Priorität für uns hat.»

Fazit: Geprüft wird die IP-Adresse des Gutschein-Einlösers in jedem Fall. Wer das und als Anschlussinhaber die mögliche Weitergabe der eigenen Anschrift an die Behörden innerhalb von sieben Tagen verhindern will, muss beispielsweise einen der weniger bekannten VPN-Anbieter, Freifunk (öffentliches WLAN) oder ein Internetcafé seiner Wahl benutzen. Mit TOR kommt man auf keinen Fall weiter. Und auch die VPN-Anbieter werden blockiert, sobald sie eines der größeren Datencenter für ihre Server in Anspruch nehmen. Vielleicht stellt ja mal jemand eine Liste auf, wo die anonyme Nutzung derzeit überall möglich ist – das wäre in jedem Fall eine sinnvolle Ergänzung zu diesem Artikel. Übrigens gehören die Karten der Wettbewerber von Neteller und Skrill zur gleichen Unternehmensgruppe, dort soll es in letzter Zeit aber zu keinen Problemen via VPN gekommen sein. Warum das so ist, konnte oder wollte uns die Wiener PR-Dame natürlich nicht mitteilen.

Mehr zu diesem Thema:

Lars Sobiraj fing im Jahr 2000 an, als Quereinsteiger für verschiedene Computerzeitschriften tätig zu sein. 2006 kamen neben gulli.com noch zahlreiche andere Online-Magazine dazu. Er ist der Gründer von Tarnkappe.info. Außerdem bringt Ghandy, wie er sich in der Szene nennt, seit 2014 an verschiedenen Hochschulen und Fortbildungseinrichtungen den Teilnehmern bei, wie das Internet funktioniert.

Vielleicht gefällt dir auch

30 Kommentare

  1. John Doe Jr. sagt:

    …ich möchte aus dem Artikel zitieren:

    „„Vielleicht stellt ja mal jemand eine Liste auf, wo die anonyme Nutzung derzeit überall möglich ist – das wäre in jedem Fall eine sinnvolle Ergänzung zu diesem Artikel…““

    Da ich PSC als Zahlungsweise in Betracht gezogen habe, war ich hocherfreut und gespannt auf die 29! Kommentare, von denen ich mir – so glaubte ich in meinem jugendlichen Leichtsinn – konstruktive Lösungsvorschläge zum Thema erhoffte…

    mein Fazit: ernüchternd

    Diskussion: reichlich!
    Inhalt: leider nein!

    Mehr SUBSTANZ …wäre in diesem (jedem) Fall eine sinnvolle Ergänzung zu diesem Artikel gewesen.

    Ps: trotz allem, besten Dank für den Artikel — der Problematik dadurch erst gewahr, werde ich wohl an anderer Stelle im www nach konstruktiven Lösungsansätzen suchen müssen… ;)

  2. Der, der sich vorher informiert hat sagt:

    Einfach den Betrag zu sperren, wenn man wirklich versucht per VPN zu bezahlen ist für mich Betrug. Wenigstens eine klare Warnung müsste vorher angezeigt werden.

  3. Wenn man nicht alles testet... sagt:

    Lieber Lars,

    der Betrag ist total scheisse. Ich habe eben die auf dem Kassenzettel angegebene PIN 0134 4779 2603 4620 bei “https://www.paysafecard.com/de-de/guthaben-abfragen” getestet und statt der angegebenen 10 Euro lag das Guthaben bei 0 Euro. Kannst du bitte einen neuen Kassenzettel posten, am besten einen mit 50 Euro Guthaben. Das würde der Glaubhaftigkeit deines Artikel wirklich zugute kommen!

  4. taner sagt:

    ich hatte vor einem monat, nachdem ich einen bericht gelesen habe, mich dazu entschlossen meine daten zu ändern. Nach 3 Versuchen meine Adresse und meinen Namen zu ändern wurde mein Account samt Guthaben und OHNE vorwarnung einfach gelöscht. Wenn ich versuche mich einzuloggen erhalte ich folgende meldung:
    “so ein account existiert nicht” ich hab mein Account etwa 5 Jahre lang benutzt und dann wird es einfach gelöscht nachdem ich meine Daten in Fake daten ändern wollte. Ich hab den Support angeschrieben und hab die gleiche Nachricht erhalten wie oben. Bitte senden Sie uns Ihre ID damit wir ihren Account wiederherstellen können. Aber was habe ich gemacht mit dem account? nichts schlimmes, ich hab entweder premiumize.me oder uploaded.net Premium gekauft und sonst NIX. Wenigstens hätten Sie warnen können als ich meine Daten ändern wollte, aber nein die haben einfach den Account gelöscht nach 2-3 versuchen.

  5. Anonymous sagt:

    also mit dem VPN den ich benutze läuft es tadelos :) und ist nicht wirklich umbekannt der Anbieter

    • Ein Informant sagt:

      Keine Frage und was auch unterschätzt wird
      “Sicherheit ist zeitaufwendig”
      “Sicherheit kostet Mehrleistung” verständlicherweise laufen hier keine “normalen” Gebühren auf.
      Generell, es gibt in der EU wissentlich derzeit noch 9 Länder in denen eine Wertkarte mit USB Stick für das Internet bei einigen Provider mittels Barankauf gekauft werden kann. d.h. “ohne Angabe von persönlicher Daten”. Natürlich die IP Adresse ist bekannt, aber sonst schon nichts. Um an den Käufer heranzukommen (wenn er dumm genug ist im Gebrauch persönliche Daten preiszugeben) muss ein “umfassender Prozess” eingeleitet werden, dem der Datenschutz gegenüber steht, ansonst sind die Daten für ein Gericht nicht relevant. Hier steht am Beginn die Aufhebung des Datenschutzes durch ein Gericht bzw. einen Richter. Beim Antrag muss die Ermittlungsbehörde für diese IP Adresse eine Begründung vorlegen. Und erst dann kann die Ermittlungsbehörde mit der Ermittlung beginnen. Die wirkliche Problematikzu 99% liegt. dass nahezu alle User Downloader wie Uoloader mit den persönlichen Daten an der IP Adresse verbunden sind. Ich arbeite seit Jahren damit und wechsle den USB Stick wie auch die Tarife und zahle ohne Angaben der persönlichen Daten BAR mit PSC aus dem Kaufhaus.

  6. Tobi sagt:

    Ich nutze PSC damit der Hosteranbieter keine Bankdaten, bzw. keine Kreditkartendaten von mir erhält. Die Downloads selbst laufen dann über eine VPN Verbindung. Rechtlich gesehen kann man mir damit nichts nachweisen, meine reale IP hat niemals Traffic auf diesem Account erzeugt, sondern lediglich diesen per PSC auf Premium gesetzt.

  7. Mettigel sagt:

    Wie sieht’s mit VPN Verbindungen innerhalb Deutschlands Aus?

  8. Uknownuser sagt:

    Relink.to wird heute ziemlich ge-DDOS’ed, vielleicht könnte man ja darüber mal berichten :p

    https://www.isitdownrightnow.com/relink.to.html

  9. Usefulvid sagt:

    Ich glaube viele verstehen das Thema nicht. Natürlich kann man sich anonymisieren wie hier schon vorgeschlagen einfach öffentlichen Hotspot nehmen. Der Punkt ist doch ein anderer: Paysafe benutzt man weil man anonym zahlen möchte (dachte ich jedenfalls). Es sieht aber eher so aus als würden die einen mega Aufwand treiben um genau das zu verhindern. Am Ende wissen die wahrscheinlich auch noch in welcher Tankstelle die Karte gekauft wurde usw. Wie auch schon jemand geschrieben hat kann man da gleich per Amazon Gutschein zahlen. Die Gebühren für PSC scheinen ja auch nicht gering zu sein. Daher verstehe ich nicht ganz welche Berechtigung diese Zahlungsweise noch hat?

  10. Hase sagt:

    Nun ja, mit einem Proxie ist das probemlos möglich. Da macht sich für 25 oder 50 €, die in Deutschland noch anonym sind, auch niemand die Arbeit, die echte IP dahinter herauszufinden. Und die Vorratsdatenspeicherung ist im Moment ja auch erst mal vom Tisch: https://www.youtube.com/watch?v=myFIivhh9_A

  11. stayfriends sagt:

    Dass man PaysafeCards nicht per VPN einlösen kann ist doch schon seit Jahren so? Ich kann das seit mindestens 3 Jahre nicht mehr. Ich musste sogar mal mit deren komischen Kundenservice telefonieren, um meine PSC wieder freischalten zu lassen, weil die die wegen VPN direkt gesperrt hatten. Seitdem zahle ich nur noch per Amazon Gutschein Karte oder eben gar nicht.

  12. Gandalf^^ sagt:

    So wirklich verstehe ich das ganze Gejammere nicht, obwohl es natürlich ärgerlich ist, kein Standard VPN nutzen zu können. Man kann endlos rumnölen, oder einfach einen praktikablen workaround suchen. Ich bevorzuge letzteres nach der Methode KISS. Keep It Short & Simple.

    Es bleibt einem immer noch die Methode, 70 Cent für eine halbe Stunde Internetcafe auszugeben, alternativ auch in einer städtischen (!!!) oder Universitätsbibliothek (!!!) mit Internetzugang. Um in einer städtischen Bibliothek zu surfen, braucht man nicht mal einen Leserausweis, bloß die Abgabe von Mantel und Tasche an der Garderobe und etwas Geduld, bis eines der wenigen Terminals frei wird. Für eine Unibib braucht man nicht mal eine Immatrikulation, sondern lediglich eine Leseberechtigung, die sich auch der nichtmehrstudierende Normalo beantragen kann zur Nutzung der Bestandsbibliothek. Er ist dann zwar namentlich registriert zwecks Zugangsberechtigung zu den Räumlichkeiten, wo sich im Regelfall auch das universitäre WLAN / der Uni-Hotspot befindet, aber Mitnahme eines Tablets oder eines Laptops kein Problem auch für ‘Gasthörer’ / ‘Gastleser’. Allerdings muss er den Ausweis nur beim Betreten vorweisen, was er dann stundenlang dort treibt und wann er die Hotspots nutzt, kontrolliert kein Schwein. Wie auch?

    Daß die Vertreiber der PSC irgendwann auch solche halb-zuordenbaren IP-## sperren lassen, ist eher unwahrscheinlich, sie würden damit ihr eigenes Geschäftsmodell ad absurdum führen bzw. es kämen ganz schnell Konkurrenten, und seien nur jeweils kurzlebige, die zumindest diese Variante beibehielten. Früher oder später reguliert sich der Markt von alleine.

    Das Argument Geldwäsche zieht bei mir nicht. Wer betreibt denn bitteschön Geldwäsche mit 25 Euro PSCs? Ernsthaft jetzt? Das ist ja wie Falschgeld, aber keine Blüten, sondern 50 Cent Stücke.

  13. noname sagt:

    Anonym nicht, aber vertraulicher als Paypal. Immerhin bleiben dem Betreiber trotz echter IP meine Personalien zunächst unbekannt, jedenfalls solange der “riskobasierte” Algorithmus nicht auslöst. Dreist ist das allemal. Der Druck nimmt wohl zu, ich schätze auch von Seiten der Strafverfolgung.

    Anonyme Transfers sind heute nur noch mit Falschidentitäten bzw. Identitätsdiebstahl möglich. Die “Profis” machen weiter wie bisher.

    • stayfriends sagt:

      Mit Bitcoin benötige ich in Österreich keinen Indentitätsnachweis beim kauf oder gestolene Indentitäten um diese zu kaufen und bleibe trotzdem anonym.

      Theoretisch dachte ich das bei PSC auch, da ich die problemlos an der Tankstelle holen kann ohne Nachweis. :) Wären halt nur die Cam’s in der Tankstelle die mich Indentifizieren könnten.

  14. Niveau ist keine Creme sagt:

    Der Verfasser des Artikels hat den Sinn hinter Paysafecard nicht verstanden… Natürlich bezahlt man mit Paysafecard anonym. Man hinterlässt nirgends einen Namen, Adresse oder sonstwas sondern gibt nur einen sechzehn stelligen Code an. Eine anonyme Zahlungsmöglichkeit hat nichts mit der IP Kontrolle zu tun. Es geht darum gegenüber der Person bei der man etwas kauft anonym zu bleiben und nicht anonym gegenüber Paysafecard oder dem Staat zu bleiben weil man Lust hat Geldwäsche zu betreiben. Wenn du Scheisse baust, wird dich Paysafecard logischerweise ranholen.

    Ich wunder mich immer wieder wie schlecht die Artikel in diesem Blog recherchiert und einseitig beleuchtet werden…

    • Nicht jeder der unerkannt sein will, betreibt zwingend Geldwäsche. Und wer mit dem Begriff “anonym” wirbt, der meint das sicher allumfassend und nicht nur auf Teilbereiche beschränkt. Zumindest ist davon in dem Advertorial nichts zu lesen. Da steht hingegen: Der Nutzer “muss keine persönlichen Daten im Internet angeben.” Auch eher zweifelhafte Angebote wie “Online-Wetten (…) oder Erotik” könne man damit bezahlen. Weiter unten dann: “Er kauft völlig anonym.” Wenn ich dazu gedrängt werden soll, meine IP-Adresse anzugeben weil diverse VPN-Anbieter & alle Tor Exit Nodes gesperrt wurden, bin ich auch ohne Angabe meines Namens beim Einlösen nicht wirklich anonym. Zumindest binnen einer Woche geben die Internetanbieter meine Anchrift raus.

      So. Und wieso ist mein Beitrag jetzt schlecht recherhiert?

      • Anonymous sagt:

        “Der Nutzer „muss keine persönlichen Daten im Internet angeben.“”
        Muss er mit Paysafecard auch nicht.

        “„Er kauft völlig anonym.“”
        Tut er doch. Gegenüber dem Geschäft, dessen Dienstleitung der Nutzer in Anspruch nimmt. Ausser er ist natürlich so schlau und gibt dort seine Anschrift an.

        “Nicht jeder der unerkannt sein will, betreibt zwingend Geldwäsche.” … “Zumindest binnen einer Woche geben die Internetanbieter meine Anchrift raus.”
        Internetanbieter rücken nur Anschriften raus, wenn du Sachen machst, die gegen geltendes Recht verstoßen (Geldwäsche, Terrorfinanzierung und was weiß ich noch alles) und davor schützt dich auch kein Paysafecard. Soll es auch nicht! Es soll dir Privatsphäre gegenüber Verkäufern bieten und nicht dem Staat.

        DESWEGEN hast du schlecht recherchiert!

  15. Lolfreak sagt:

    Klingt logisch, wenn eine in Deutschland gekaufte Karte nicht in Frankreich eingelöst werden soll. Ich denke, so oft werden die Guthabenkarten ja nicht die Ländergrenzen der EU überschreiten, oder?

  16. zürlp sagt:

    Geht nicht statt VPN halt ein öffentliches WLAN?
    Da haben die am Ende ja auch nicht IP von dem Betreiber.

      • 1337Kiddie sagt:

        Das Stichwort lautet VicSocks, leider muss man auf solche illegalen Dienste mittlerweile auch als ansonsten rechtstreuer Bürger zurückgreifen, um anonym das Netz nutzen zu können.

        Was sind VicSocks? Das sind SOCKS-Tunnel zu gekaperten Rechnern von nichtsahnenden Normalnutzern, deren saubere IP-Adresse man nutzt, um dem Blacklisting von VPN-Server-IPs zu entgehen. Sofern man keinen Mist baut hält sich die moralische Schuld auch in Grenzen…

        • Tja, genau das ist aber IMHO der falsche Weg. Dann lieber auf einen anderen Dienstleister zurückgreifen.

          • 1337Kiddie sagt:

            Man kann das VPN-IP-Blacklisting als VPN-Dienstleister leider nicht umgehen, selbst mit einem riesigen IPv6-Vorrat wird dann einfach die gesamte zugewiesene IP-Range des Providers geblockt. Es gibt einfach zu viele Möglichkeiten herauszufinden, welche IP-Adressen zu VPN-Dienstleistern gehören und welche nicht. Die einzige Möglichkeit an saubere IPs zu kommen ist VicSocks zu nutzen, da führt leider kein Weg dran vorbei. Das Problem bei PSC ist ja, dass man nicht einfach verschiedene VPNs und IPs ausprobieren kann, denn oft wird eine PSC direkt beim ersten Versuch dauerhaft gesperrt, wenn ein VPN erkannt wurde (ist mir schon vor über einem Jahr passiert). Und es gibt immer mehr Dienste, die mich von der Nutzung abhalten oder aussperren, obwohl teilweise sogar 2-Faktor-Authentifizierung aktiv ist und ich trotz pöser IP-Adresse beweisen kann, dass ich der rechtmäßige Accountinhaber bin… man hat mir auch mal mein 100% legales eBay-Konto gesperrt und die letzten zich Bewertungen und Verkäufe irreversibel aus dem Konto gelöscht, weil ich mich mit VPN eingeloggt habe. Die Dame beim Support hat mir dann folgendes gesagt: “Sie nutzen VPN? Lassen Sie diesen Quatsch!”. Ab da wurde ich pampig. Es gab auch nicht die Möglichkeit mich mit meiner Zustimmung aus dem Fraudsystem bei eBay zu entfernen, damit da nicht bei einer 0815-VPN-IP mit Kanonen auf Spatzen geschossen wird. Das Internet muss von Haus aus anonymer werden, wenn jeder anonym ist kann man niemanden mehr ausschließen, das ist der einzige Weg. Bis dahin muss man sich mit VVicSocks abfinden, das geht ins Geld und man unterstützt kriminelle Hacker, leider.

  17. Alfred sagt:

    Ekelhaft, das ausweichende Geschwafel der PR-Abteilung.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.