Internetkriminalität Verbraucherzentrale warnt vor Punkteklau bei Payback-System

"Haben Sie eine Payback-Karte?" Manche können es beim Zahlen an der Kasse schon nicht mehr hören, andere zücken eifrig die Karte. Viele nutzen das Payback-System, um beim Einkauf Geld zu sparen, und zahlen sozusagen mit ihren Daten dafür. Die Verbraucherzentrale NRW hat nun mitgeteilt, dass Nutzerinnen und Nutzer des Bonussystems von einem Punkteklau betroffen sind.

Die Payback App ist auf einem Smartphone zu sehen.
Etlichen Kunden in Deutschland wurden offenbar Payback-Punkte geklaut. Bildrechte: dpa

Beim Einkauf die Karte scannen, Punkte sammeln und gegen Geld oder Angebote eintauschen – so einfach funktioniert Payback. Auf scheinbar ebenso einfache Weise sind die gesammelten Punkte bei einigen Nutzerinnen und Nutzern nun auch wieder verschwunden.

So auch bei Josef Schinner aus Bayern: "Ich gehe dann rein in die Payback-App und dann sehe ich, dass mir zwei Mal fünftausend Punkte abgebucht wurden von einem Rewe-Markt Pons. Kenn ich nicht, da war ich noch nie."

Payback-Unternehmen übernimmt keine Verantwortung

Zehntausend Payback-Punkte – das sind umgerechnet einhundert Euro. Wie Schinner ging es auch anderen Nutzerinnen und Nutzern des Bonussystems. In einer Facebook-Gruppe tauschen sich Betroffene aus. Bei Nicole Wahls aus Niedersachsen lief der Punkteklau ähnlich ab. "Zwei Mal viertausend Punkte wurden abgebucht von Penny. Da hat sich also jemand einen Penny-Gutschein erstellt."

Payback will die geklauten Punkte nicht zurückzahlen. Sprecherin Nina Purtscher bekräftigt, dass das Problem nicht bei dem Unternehmen liege: "Payback selbst ist sicher. Wir prüfen unsere Plattform rund um die Uhr, und Payback hat keine Sicherheitslücke. Das Problem liegt schon ein paar Schritte davor und das heißt Internetkriminalität."

Vorsicht bei Betrügermails

Purtscher vermutet hinter dem Punkteklau sogenannte Phishingmails. Also Mails mit einem Link, die aussehen, als wären sie von Payback. Eva Maria Weiß, Redakteurin beim IT-Magazin Heise Online erklärt, wie diese funktionieren: "Da ist meist ein Link enthalten und wenn man da draufklickt, soll man seine Daten eingeben, seine Zugangsdaten. Das ist aber auch eine Fake-Seite in der Regel, und die Daten werden darüber abgegriffen. Damit wiederum können sich die Betrüger dann in das echte Konto einloggen."

Die Verantwortung sieht auch Weiß bei den betroffenen Kundinnen und Kunden: "Payback kann da gar nichts tun. Das ist wirklich eine Verantwortung der Verbraucher, dass sie nicht auf diese Betrügermails reinfallen und dort nicht ihre Daten eingeben."

Um sich vor solchen Betrügern zu schützen, rät Weiß Verbraucherinnen und Verbrauchern eine gewisse Skepsis. "Ist die echt, ist es vielleicht eine Fake-Mail? Kommt mir das irgendwie dubios vor? Wenn da ein Link ist, auf den ich klicken soll und da meine Daten eingeben, dann ist das eigentlich immer Betrug."

Datenklau nicht nur über Phishing möglich

Josef Schinner und Nicole Wahls, die vom Paybackpunkte-Klau betroffen sind, betonen jedoch beide, dass sie auf keine solche Mail geklickt haben und auch regelmäßig ihre Payback-Passwörter ändern. Sprecherin Purtscher räumt ein, dass es nicht nur das Phishing gebe: "Es gibt auch andere Möglichkeiten, an Daten zu kommen. Zum Beispiel über Listen, die von Kriminellen im Darknet verkauft werden. Das sind ja Milliarden E-Mail-Adressen, die im Netz kursieren. Oder, weil der User ein zu unsicheres Passwort verwendet oder weil Kunden dieselbe E-Mail- und Passwortkombination bei ganz vielen Accounts verwenden. Dann dann kommen die Kriminellen natürlich überall ganz einfach rein."

Punkte zurück gibt es von Payback nicht. Das Unternehmen informiert aber seiner Website, wie Kundinnen und Kunden sich schützen können. In Sachsen und Thüringen sind den Verbraucherzentralen noch keine Fälle vom Punkteklau bekannt – in Sachsen-Anhalt habe es einige Meldungen von Betroffenen gegeben, heißt es.

Josef Schinner jedenfalls hat beschlossen, seine Payback-Karte in den Müll zu werfen, den Account zu löschen. Nicole Wahls will das Konto behalten – aber in Zukunft wird sie jeden einzelnen Punkt in bar auf ihr Girokonto überweisen.

Dieses Thema im Programm: MDR AKTUELL RADIO | 04. August 2020 | 05:00 Uhr