Punkte-Diebstahl im großen Stil So zockt die Payback-Mafia die Kunden ab

Mit Payback kommt man auch an Einkaufsgutscheine - so machen Diebe die geklauten Punkte zu Geld. Foto: dpa

Mit ausgespähten Nutzerdaten räumen Betrüger Punkte-Konten leer. Entschädigung gibt es kaum.

 

Irgendwie gespenstisch fühlt sich das für Kerstin Harfmann (41) an. Praktisch über Nacht sind neulich all die gesammelten Punkte von ihrer Payback-Kundenkarte verschwunden. 174 Euro, beim Einkaufen angespart über ein Jahr – einfach weg. Ein Fremder hat ihr Punktekonto heimlich abgeräumt.

"Woher hat der meine geheimen Login-Daten", fragt sich die Münchnerin, die in der IT-Branche arbeitet und sehr sensibel mit ihren Daten umgeht. Und: "Wenn es eine Sicherheitslücke gibt, warum unternimmt Payback da nichts?"

Payback (englisch für "Rückzahlung") ist ein Bonussystem mit Kundenkarte, das jeder zweite Münchner Haushalt nutzt. Wer bei einem der angeschlossenen 40 Geschäfte (wie Rewe, Kaufhof, WMF) oder Onlinehändlern einkauft, bekommt je nach der Kaufsumme Punkte auf seiner Karte gutgeschrieben.

Der Betrug mit Punktekarten wird immer häufiger

Jeder ist einen Cent wert. Da kommen im Jahr schnell mal 200 Euro und mehr zusammen, die gegen Bargeld, Einkaufsgutscheine oder Sachprämien eingetauscht werden können. Die 28 Millionen deutschen Nutzer haben allein 2015 338 Millionen Euro eingelöst.

Jetzt aber gerät das Unternehmen mit Sitz in München unter Druck – denn zunehmend entdecken Cyberbetrüger Wege, die Punktekonten der Kunden zu plündern. Allein 5.000 Fälle gab es in den vergangenen Wochen, erklärt Payback-Sprecherin Nina Purtscher auf AZ-Nachfrage – wie den von Kerstin Harfmann.

Die Münchnerin hatte am 8. Oktober, ein Samstagabend, eine "Serviceinfo"-Mail von Payback erhalten. "Herzlichen Glückwunsch", hieß es da, "Sie haben Ihren Einkaufsgutschein erfolgreich aktiviert. Ihr Gutschein im Wert von 174 Euro (. . .) ist ab sofort bis 31. Dezember 2019 an allen teilnehmenden Rewe-Märkten gültig. Einfach beim nächsten Einkauf Ihre Payback-Karte vorzeigen und Ihr Einkaufsgutschein wird automatisch eingelöst."

"Mir war klar, dass entweder ein Irrtum vorliegt oder aber ein Hacker am Werk war", sagt Kerstin Harfmann. "Ich sammle seit 14 Jahren Punkte, habe aber nie Einkaufsgutscheine, sondern immer nur Sachprämien eingelöst – wie eine Tasche, Spielzeug, einen Messerblock oder einen Milchshaker."

Noch am selben Abend loggte sie sich in ihrem Kundenkonto ein, und sah: Payback hatte ihr bereits 17.400 Punkte abgezogen. "Mein ganzes Punktekonto war leergeräumt!"

Payback war für die betrogene Kundin erst nicht erreichbar

Drei Tage lang habe sie versucht, bei Payback jemanden telefonisch zu erreichen. "Dann habe ich diverse Nachrichten über das Kontaktformular geschrieben und keine Antworten auf meine Fragen bekommen. Zum Beispiel, von welcher IP-Adresse der Gutschein für mein Punktekonto ausgestellt wurde. Und warum mein Konto nicht gesperrt wird."

Stattdessen antwortete der Kundenservice, eine Rückerstattung sei "nicht möglich, da der Gutschein bereits eingelöst wurde". Jemand habe längst schon in einem Rewe-Supermarkt damit seinen Wagen vollgemacht und die 174 Euro ausgegeben. "Schön, dass Sie mit Payback Punkte sammeln", heißt es weiter in der Mail. "Wir wünschen Ihnen weiterhin viel Spaß beim Shoppen und Einlösen." Für die Münchnerin "eine Unverschämtheit".

Payback betont: "Die Sicherheitsprobleme liegen nicht bei uns"

Mehr Infos bringt erst die Nachfrage der Abendzeitung. "Wir haben keinen Fremdeingriff auf Payback-Systeme festgestellt. Niemand hat direkten Zugriff auf unsere Daten. Die Sicherheitsprobleme liegen nicht bei uns", erklärt die Payback-Sprecherin.

Wie aber ist der Unbekannte dann an die Daten von Kerstin Harfmann gekommen? "Wir gehen davon aus, dass die Betroffenen Opfer von Phishing-Angriffen geworden sind", argumentiert die Sprecherin.

Will sagen: Kriminelle könnten die Mailadressen der Betroffenen ausgespäht haben, dort über den regulären Payback-Newsletter an die Kundennummer gekommen sein und sich damit ein neues Passwort besorgt und auf die Punkte zugegriffen haben.

"Oder die Geschädigten sind auf gefälschte Payback-Mails von Cyberkriminellen hereingefallen und haben dort ihre Anmeldedaten eingegeben", so die Unternehmenssprecherin.

Erst im September hatten Betrüger massenhaft E-Mails verschickt – sehr genaue Nachbildungen echter Newsletter. Die versprachen, zu einem angeblichen Geburtstag von Payback das Punkteguthaben zu verdoppeln. So seien die eingegebene Anmeldedaten direkt bei den Betrügern gelandet.

Bitte auf keinen Fall "hier" anklicken und persönliche Daten eingeben: Mit Phishing-Mails wie dieser (die echten Payback-Newslettern täuschend ähnlich sehen) versuchen Unbekannte, an Mailadressen und Passwörter von Payback-Kunden zu gelangen. Danach ist es ein Leichtes, das Punktekonto abzuräumen.Bitte auf keinen Fall "hier" anklicken und persönliche Daten eingeben: Mit Phishing-Mails wie dieser (die echten Payback-Newslettern täuschend ähnlich sehen) versuchen Unbekannte, an Mailadressen und Passwörter von Payback-Kunden zu gelangen. Danach ist es ein Leichtes, das Punktekonto abzuräumen. Screenshot: Payback

Im Internet beschweren sich viele Payback-Nutzer

Auf der Payback-Facebook-Seite jedenfalls wimmelt es inzwischen von Klagen: "Hallo", schreibt etwa Theresa G. Mitte Oktober, "mir wurden gestern 27.350 Punkte abgebucht. Das sind 273 Euro, einfach mal weg." Oder Lukas G.: "Von meinem Konto wurden heute 6.200 Punkte abgebucht." Ein "böser Dritter" habe "jede Menge Punkte gestohlen", und in einer 200-Kilometer entfernten Supermarktfiliale eingelöst, meldet Kunde Ulrich J.

Was die Beschwerdeführer besonders ärgert: Auf ihre Meldungen reagiere das Unternehmen erst Tage später, gar nicht – oder lapidar: Man könne da "leider nichts" machen, das Geld sei nun mal schon abgehoben worden.

Für ihren eigenen Fall schließt Kerstin Harfmann aus, den Betrug selbst verursacht zu haben. "Ich habe weder eine Payback-Mail geöffnet, zu der ich Daten eingeben hätte müssen – noch glaube ich, dass meine E-Mail-Adresse ausgespäht worden ist. Denn dann hätte ich mehr Ärger mit fremden Zugriffen. Ich habe aber nur Probleme mit Payback."

Nach dem AZ-Anruf immerhin hat sich das Unternehmen ihren Fall genauer vorgenommen – und möchte ihn nun doch kulant regeln. "Frau Harfmann wird ihre Punkte zurückbekommen", erklärt die Payback-Sprecherin gegenüber der AZ. Wie viele der anderen 5000 Betroffenen ebenfalls Kulanzregelungen bekommen? "Dazu äußern wir uns nicht."   

Sind Sie auch betroffen? Dann melden Sie sich beim Payback-Kundencenter unter 089/ 540 20 80 20 oder per E-Mail über die Internetseite www.payback.de

 

4 Kommentare