STAND
AUTOR/IN

Beim Bonus-Punktesystem „Payback“ können Nutzer Rabattpunkte sammeln und diese gegen Prämien oder Geld tauschen. Was aber, wenn Kriminelle die Punkte stehlen? Wie schützt man sich?

„Haben sie Payback?“ Diese Frage hört man häufig an Kassen von Supermärkten, Drogerien oder Tankstellen. Über 30 Millionen Deutsche sagen dazu „ja“ – mehr als jeder Dritte sammelt also die Punkte des Bonussystems. Für die gibt es dann spezielle Prämien, Einkaufsgutscheine oder auch Geld – die eigenen Kundendaten gegen Rabatte also. Doch immer mehr Nutzer schlagen jetzt Alarm. Denn ihre so mühsam angesammelten Payback-Punkte werden wie von Geisterhand geklaut, die Punkte-Konten komplett leergeräumt.

Wie funktioniert der Payback-Punkteklau?

Das Abfragefenster für Username und «Password» auf einer Internetseite sind auf dem Monitor eines Laptops zu sehen. (Foto: dpa Bildfunk, Picture Alliance)
Immer öfter schlagen die Payback-Diebe zu - Mühsam angesammelte Bonuspunkte sind plötzlich weg. Picture Alliance

Wie die Punkte-Abräumer dabei genau vorgehen, ist bislang noch unklar – vermutlich gibt es verschiedene Methoden.

Payback selbst weist jedenfalls jede Schuld von sich: „PAYBACK hat keine Sicherheitslücke“, erklärt das Unternehmen auf SWR-Nachfrage. Das Problem seien vielmehr Datendiebe. Deshalb erstatte das Unternehmen gestohlene Punkte auch nicht zurück.

Payback vermutet Phishing

Laut Payback hat sich aufgrund der Corona-Pandemie die Kriminalität verstärkt ins Internet verlagert. Die Opfer seien wohl auf Phishing-Mails hereingefallen – also gefälschte Mails, die nur angeblich von Payback selbst kommen und mit denen die Opfer zum Verraten ihrer Zugangsdaten gebracht wurden. Ob dies tatsächlich der Fall ist, ist jedoch noch unklar.

Gehackte E-Mail-Accounts

Eine weitere Möglichkeit, an Payback-Konten zu gelangen, sind gehackte Datenbanken oder E-Mail-Accounts. Gestohlene oder gehackte Payback-Accounts werden gerade verstärkt im Netz gehandelt - auf einschlägigen Seiten und gegen die Zahlung der Computergeld-Währung Bitcoin. Gesucht werden dort auch sogenannte „Läufer“, die mit den geklauten Daten dann bei Drogerien oder Supermärkten die Punkte gegen Gutscheine oder Barauszahlung einlösen. Es werden Anleitungen zum selber Hacken verkauft und sogar die passende Software zum Daten-Ausspähen.

Login-Fenster bei Payback (Foto: SWR)
Momentan kann man sich noch ganz leicht mit Kundennummer, Geburtstdatum und Postleitzahl bei Payback einloggen.

Unsichere Anmeldung bei Payback

Zusätzlich bietet Payback aktuell noch ein relativ einfaches Einfallstor: Man kann sich, auch in der Payback-App, mit Kundennummer, Postleitzahl und Geburtsdaten einloggen. Dafür braucht man kein Passwort. Mit der App lassen sich die Punkte zum Beispiel bei dm oder bei Rewe in Einkaufsgutscheine umtauschen.

Payback beginnt gerade, diese Sicherheitslücke zu schließen und bietet den Usern den Wechsel auf Login-Verfahren mit PIN oder Passwort an. Doch auch dieses Login-Verfahren sei noch zu unsicher, bemängelt Jennifer Kaiser von der Verbraucherzentrale Rheinland-Pfalz. Sie fordert die Einführung einer Zwei-Faktor-Authentifizierung, wie sie auch viele Banken online nutzen.

Mit Sammelpunkten wirbt am 13.01.2017 in Mülheim (Nordrhein-Westfalen) der Verbrauchermarkt Rewe. (Foto: dpa Bildfunk, Picture Alliance)
Mit den Sammelpunktaktionen sollen Kunden gebunden werden. Picture Alliance

Wie kann man sich vor den Punkte-Dieben schützen?

  • Hände weg von Phishing-Mails! So lautet der Rat von Verbraucherschützern und Polizei. Dazu muss man sie allerdings auch erstmal als solche erkennen. Generell sollte man niemals über Links in E-Mails von Diensteanbietern auf deren Websites gehen – so seriös die Absender auch erscheinen mögen. „Vermutlich hätten alle Fälle von Phishing vermieden werden können, wenn Benutzer die Dienst-Seite direkt im Browser eingetippt und aufgerufen hätten“, so das Landeskriminalamt Baden-Württemberg. Über Links in Mails gelangen Opfer nämlich auf Fake-Seiten, die täuschend echt aussehen, aber sensible Daten abgreifen. Hier, hier und hier finden Sie zusätzliche Tipps, wie Sie sich vor Phishing schützen können. Die Broschüre „Klicks-Momente für Internetnutzer“ der Polizei bietet viele Hinweise zur Sicherheit im Internet generell. Das Faltblatt „Vorsicht Kartentricks“ thematisiert unter anderem das Thema „Bezahlen mit Karten im Internet“.
  • Besonders wichtig bei sämtlichen Aktivitäten im Netz sind sichere Passwörter. Wie man die erstellt und verwaltet hat die Verbraucherzentrale zusammengefasst. Cyber-Crime-Experten empfehlen außerdem die Verwendung von professionellen Passwort-Managern, die selbsttätig – gleich einer Art Generallschlüssel – für jeden Zugang ein eigenes sicheres Passwort erstellen können. Den Passwort-Zugang für diesen Generalschlüssel-Passwort-Manager sollte man sich dabei besonders gut überlegt haben, er sollte sehr sicher sein und man sollte ihn auch regelmäßig erneuern.
  • Kunden, die noch Punkte auf ihrem Konto haben, sollten diese nun möglichst schnell einlösen, rät die Verbraucherzentrale. Doch Vorsicht: Stichproben der Verbraucherschützer haben belegt, dass viele Payback-Prämien bei anderen Händlern eigentlich günstiger zu kaufen waren. Anstatt eine Prämie zu wählen, ist es daher oft sinnvoller, sich die Punkte in Euro und Cent auszahlen zu lassen oder sie gegen einen Einkausgutschein einzulösen.
  • Auch Geschädigte sollten tätig werden, rät die Verbraucherzentrale. Ist nicht nachvollziehbar, wie es zum Punktesklau kam, sollte das Passwort für den Online-Zugang oder die App in jedem Fall geändert werden. Nur so kann man nämlich weiteren Missbrauch unterbinden. Außerdem sollte man Strafanzeige bei der örtlichen Polizeidienststelle erstatten. Je mehr Menschen dies tun, um so höher wird mutmaßlich der Fahndungsdruck der Polizei auf die bislang noch unbekannten Täter.

Gefahren beim Onlineshopping Betrug bei Ebay-Kleinanzeigen, Amazon und Paypal

Viele Menschen vertrauen beim Onlineshopping großen Namen wie Amazon und Ebay. Aber auch auf diesen Plattformen lauern Betrüger.  mehr...

Vorsicht Verbrechen SWR Fernsehen

Abzocke im Internet Abzocke im Internet - So enttarnen Sie Fake-Shops im Netz

Betrüger versuchen auch in Krisenzeiten wie der Corona-Pandemie, Verbraucher mit gefälschten Online-Shops über den Tisch zu ziehen. Wir haben die wichtigsten Tipps für Sie, um Fake-Shops zu erkennen.  mehr...

Vorsicht Verbrechen SWR Fernsehen

Abzocke bei Geldanlagen in Corona-Zeiten So erkennt man unseriöse Trading-Plattformen

Auch in Corona-Zeiten werben Betrüger mit seriös aussehenden Websites für Finanzdienstleistungen. Für Laien sind Schwarze Schafe bei der Geldanlage zunächst schwer zu erkennen.  mehr...

Marktcheck SWR Fernsehen

STAND
AUTOR/IN