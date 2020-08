Zahlreiche Nutzer des Rabattprogramms Payback berichten davon, dass ihre Punkte von Unbekannten gestohlen wurden. Offenbar konnten sich die Täter der Accounts bemächtigen und deren Punkte dann in Ladenfilialen für Käufe verwenden. Die überraschten Nutzer erfahren dann etwa per Payback-Kundendienstmail, dass in einem entfernten Supermarkt ihre Punkte im Wert von 50 oder 100 Euro eingelöst wurden. Eine Sicherheitslücke im eigenen Systemen stehe aber nicht dahinter, betonte Payback gegenüber heise online. "Wir prüfen unsere Plattform rund um die Uhr und sichern sie gegen unbefugte Zugriffe ab."

Die Masche, wie auch andere Formen der Online-Kriminalität, scheint während der Corona-Krise zugenommen zu haben. Die Zahl der Nutzerbeschwerden sei jedenfalls angestiegen, was Payback auch bestätige, berichtet die Verbraucherzentrale Nordrhein-Westfalen. Unzufriedene Kunden machen sich etwa auf Plattformen wie Trustpilot Luft oder in eigens gegründeten Facebook-Gruppen.

Problem in chair, not in computer?

Payback sieht den Angriffsvektor in der mangelnden Vorsicht bei den Nutzern: Diese würden zum Beispiel ihre Accounts nur mit schlechten Passwörtern im Stile von 123456 sichern – oder verwendeten das Passwort eines Mail-Accounts mehrfach, der bereits anderweitig kompromittiert wurde. Die Kriminellen probierten die zum Beispiel im Darknet erworbenen Mail-Passwort-Kombinationen dann eben auch bei Payback aus.

Ebenfalls würden die Leute auf Phishing-E-Mails hereinfallen, das sei Payback zufolge der Hauptweg der Ganoven. Bereits seit längerem weise das Unternehmen auf solche Kampagnen hin und bemühe sich, Kunden zu sensibilisieren. Die teilweise sehr gut gemachten Mails versprechen meist besondere Möglichkeiten, Payback-Punkte zu sammeln und locken auf gefälschte, oftmals auch sehr überzeugende Login-Seiten. Über die werden dann die Account-Daten abgegriffen.

Gutschein vom Terminal

Ein derart gekapertes Konto schafft aber noch nicht die Möglichkeit, einigermaßen diskret die Punkte zu Geld zu machen. Vor allem werden die Punkte wohl in Form von Gutscheinen an Ladenkassen eingelöst. Diese Gutscheine lassen sich etwa an Payback-Terminals generieren, die in Ketten wie Rewe, Real oder Penny aufgestellt sind.

Je nach Aktualität des Terminals werden daran entweder Kombinationen aus Kundennummer, PLZ, Geburtsdatum und PIN abgefragt oder an den neueren Geräten nur Passwort und E-Mail. Ein zweiter Faktor wie etwa naheliegenderweise die Payback-Karte ist jedoch nicht nötig. Wer die Logindaten hat, kommt also beim richtigen Terminal leicht an einen Gutschein.

Zweiter Faktor "durchaus in Erwägung"

Die Kombinationen mit PIN, Postleitzahl und Geburtsdatum spielten bei dem Punkteklau übrigens keine große Rolle, erklärte eine Sprecherin von Payback. Bei den bekanntgewordenen Fällen hätten die Ganoven am Terminal praktisch immer den Weg über Mailadresse und Passwort gewählt. Das Geburtsdatum und auch die PIN seien bei einem Login im Kundenaccount zudem nicht einsehbar. Der Gutschein an der Ladenkasse sei auch die zentrale Masche der Kriminellen, um mit gekaperten Accounts Kasse zu machen, so Payback.

Auf die Frage, warum man Online-Login und auch die Terminals nicht mit Zwei-Faktor-Authentifizierung schütze, erklärte Payback, dass man dies "durchaus in Erwägung" ziehe. Unter anderem habe man an den Terminals bereits Limits bei der Punkte-Einlösung eingeführt. Zusätzliche Sicherheitsmaßnahmen würden aber auch auf Kosten des Kundenservice gehen.

Keine Kulanz

Payback wurde am 13. März 2000 gegründet und ist eigenen Angaben nach mit 31 Millionen Teilnehmern das größte Rabattprogramm in Deutschland. Das Prinzip: Die Kunden legen offen, was, wann, wo und wie oft sie etwas kaufen – und dafür erhalten sie Paybackpunkte, die sich in Gutscheine und Preisnachlässe tauschen lassen. Der ungefähre Gegenwert eines Punktes liegt laut Payback bei einem Eurocent. Seit 2016 bietet Payback auch die Möglichkeit zum mobilen Bezahlen via Smartphone.

Wer auf die geschilderte Weise bestohlen wurde, braucht derzeit nicht auf Kulanz in Form ersetzter Punkte zu hoffen. Dazu gebe es in diesen Fällen keine rechtliche Pflicht, betont Payback. Nutzer seien da selbst für die Sicherheit ihres Accounts verantwortlich. Die Opfer haben dann also umsonst Daten ihrer erfassten Käufe weitergegeben.

(axk)