Netto, netto-app
Netto, netto-app
Bildquelle: WikiImages, Lizenz

Betrug mit Netto-App tritt in Verbindung mit PayPal gehäuft auf

Betrüger gehen mit der Netto-App trotz sicherem Passwort auf Kosten Dritter auf teure Einkaufstour und bezahlen mit deren PayPal-Guthaben.

In Verbindung mit der Netto-App gibt es für Cyberkriminelle offenbar eine neue Masche. Im PayPal-Forum beschweren sich seit Anfang November einige Nutzer über Einkäufe Dritter, die man auf ihre Kosten getätigt hat. Es geht jeweils um bis zu 500 Euro und in Einzelfällen um mehr Geld. Ein Leser schreibt uns:

Die Frau eines Kollegen ist selbst Opfer. Sie hat aber bereits ihr Geld (1.200 Euro) erstattet bekommen. Sie bekam eine Nachricht von PayPal, dass ihre Zahlung über die Netto-App in einem Netto-Laden in Berlin erfolgreich war. Blöd nur, dass sie in der Eifel wohnt und zu diesem Zeitpunkt auch in der Eifel war.

Wie gelangen die Täter an die Daten?

Die App ist bei ihr folgendermaßen eingerichtet: Login in der Netto-App via E-Mail-Adresse und ihrem 13-stelligen Passwort mit Sonderzeichen. Bei einer Zahlung mit der App via PayPal musste sie aber noch einen Pincode eingeben. Dies alles hat nicht vor einem Betrug geschützt!

Sie hat weder eine E-Mail oder SMS bekommen, in der sie ihre Daten angeben musste. Phishing scheint es nicht zu sein. Auch hat sie sich mit der Netto-App nicht über ein öffentliches WLAN (Freifunk etc.) eingeloggt. Somit sind derartige Honeypots wohl auch außen vor.

netto-app
Screenshot aus dem PayPal-Forum.

Was wir uns nur vorstellen können, ist, dass die Logindaten inklusive Pin für die PayPal-Zahlung unverschlüsselt bei Netto auf den Servern liegen oder lagen und kompromittiert wurden. Die Netto-App hat ein Zahlungslimit von 500€ pro Einkauf. Trotzdem konnten die Betrüger mehr an der Kasse ausgeben. Netto schweigt!

Stellt sich die Frage, wie die Cyberkriminellen an die Passwörter und E-Mail-Adressen der Nutzer gelangt sind. Haben Unbekannte etwa Netto gehackt? Steht der Datensatz in einem Untergrund-Forum zum Verkauf? Spannend wäre auch zu wissen: Bewahrt Netto die Daten verschlüsselt auf?

Netto-App
Screenshot: Die Netto-App im Google Play Store.

Netto-App: Bezahlung per PayPal oder Lastschrift

Ganz ähnlich erging es in den letzten Tagen diversen anderen Nutzern der Netto-App, die man wahlweise mit dem eigenen PayPal-Account oder für eine Abbuchung mit den Bankdaten verknüpfen kann. Die Rechnungsbeträge bucht Netto dann über den Dienst „Paymorrow“ per Lastschrift vom Girokonto ab. Die Liste der Personen, die ein derartiges Betrugsszenario bei der PayPal Community (Forum) gemeldet haben, ist mittlerweile recht lang.

In vielen Fällen hat PayPal die Summe zwischenzeitlich erstattet. Ein Moderator von PayPal weist darauf hin, dass bei einem vorgetragenen Fall die Zahlung durch die Fachabteilung abgelehnt wurde, weswegen es wohl zur Erstattung kam. Bei weiteren Problemen soll man einen Konflikt im PayPal-Konto eröffnen oder den Kundenservice kontaktieren.

Schaden wurde nicht immer erstattet

Paypal

Andere Betroffene hatten weniger Glück. Paypal hat auch ihren zweiten Widerruf abgelehnt. Auf den Hinweis der Betroffenen bei Netto erfolgte bisher bei keinem der Betroffenen eine Reaktion. Der Betrogene ließ in der Folge alle Abbuchungen von Paypal von seiner Bank sperren.

Bei einem weiteren Nutzer versuchte PayPal nach der erfolglosen Abbuchung vom Konto sogar die verknüpfte Kreditkarte zu belasten. Manche Teilnehmer des PayPal-Forums raten sogar dazu, die Netto-App zu löschen, selbst wenn man darüber nachweislich Geld sparen kann.

Bis jetzt keine Antwort auf unsere Presseanfrage

Wir haben heute bei Netto als auch bei PayPal eine Presseanfrage per E-Mail gestellt, die man bis jetzt noch nicht beantwortet hat. Wir hätten beispielsweise gerne gewusst, warum es möglich war, das Limit des Einkaufs in Höhe von maximal 500 Euro zu überschreiten. Und auch, wie die Cyberkriminellen an die E-Mail-Adressen und Passwörter von Netto gelangt sind.

Netto-App auf Basis von älteren Daten übernommen?

Zudem erkundigen wir uns im Untergrund. Mit den vorhandenen Angaben sei es nicht so einfach, das genaue Vorgehen zu reproduzieren, hieß es bis jetzt als Antwort. Möglicherweise konnten Hacker geleakte Daten der Deutschlandcard nutzen, die noch bis Frühjahr 2023 mit Netto kooperiert haben. Mittlerweile hat die Bertelsmann-Tochter keinen Zugriff mehr auf die Daten der Netto-Kunden. Doch in 2022 wurde vielfach bekannt, dass Deutschlandcard-Accounts von Unbekannten übernommen wurden.

Wir haben uns im CrimeMarket als auch im Crime Network umgesehen, ob dort gehackte Kundendaten der Netto-App zum Verkauf angeboten werden. Beide Foren sind im Bereich Online-Betrug führend im deutschsprachigen Bereich. Doch die Suche ergab in beiden Fällen keine relevanten Treffer.

Eine andere Theorie weist auf gehackte E-Mail-Accounts hin. Doch hätten Cyberkriminelle das Passwort der Opfer erfolgreich zurückgesetzt, hätten sie das Passwort dadurch in der Regel geändert. Wer das verhindern will, muss schon sehr technisch versiert sein und spezielle Tools nutzen. Bei der Menge an Opfern erscheint dieses Szenario aber eher unwahrscheinlich. Dazu kommt: Sich nicht mehr einloggen zu können beim E-Mail-Anbieter, wäre den betroffenen Personen sicher mittlerweile aufgefallen.

Die Sache bleibt auf jeden Fall spannend. Sollten wir wider Erwarten doch noch etwas von PayPal oder Netto hören, reichen wir die Antworten der Pressesprecher gerne im Rahmen eines Updates nach.

Update: PayPal hat sich gestern gemeldet:

Einleitend möchten wir klarstellen: Ein Datenleck liegt weder bei der Netto-App noch bei PayPal vor.

Bei Verdacht auf unberechtigte Nutzung von Benutzerdaten wird empfohlen, präventiv das Passwort des App-Benutzerkontos zu ändern. Tipps für ein sicheres Passwort erhalten Verbraucherinnen und Verbraucher zum Beispiel auf der BSI für Bürger-Website des Bundesamts für Sicherheit in der Informationstechnik.

Generell sollten Verbraucherinnen und Verbraucher, die PayPal als Bezahlmethode nutzen, regelmäßig ihr PayPal-Konto und die darin aufgeführten Umsätze überprüfen. PayPal-Kund:innen erhalten für jede erfolgte Zahlung eine Bestätigung per E-Mail. Wir empfehlen unseren Kund:innen, diese Zahlungsbelege stets zu prüfen, insbesondere im Hinblick auf den/die Empfänger:in der Zahlung und den Betrag.

Grundsätzlich schützt PayPal seine Kund:innen im Fall von unberechtigten Zahlungen. Wird PayPal ein unberechtigter PayPal-Kontozugriff gemeldet und es gibt keinen Nachweis für ein vorsätzliches oder grob fahrlässiges Verhalten seitens des/der Kund:in, erstattet PayPal der betroffenen Person den vollständigen Betrag zurück.

Wenn PayPal-Kund:innen eine Zahlung bemerken, die sie nicht genehmigt haben, sollten sie PayPal so schnell wie möglich darüber informieren. Dies ist über das PayPal-Konto möglich, sowohl per Browser als auch über die PayPal-App.

Melden einer nicht genehmigten Zahlung über den Browser:
•    Einloggen ins PayPal-Konto über den Browser.
•    In der Leiste oben auf „Aktivitäten“ klicken.
•    Die Zahlung anklicken, die nicht genehmigt wurde.
•    Auf „Problem melden“ klicken.
•    Auf der nächsten Seite stehen verschiedene Optionen zur Auswahl. Hier zum Bereich „Unbefugter Zugriff auf Ihr PayPal-Konto“ scrollen und „Ich habe den Verdacht, dass jemand anderes auf mein Konto zugreift“ wählen und den weiteren Schritten folgen.

Melden einer nicht genehmigten Zahlung über die PayPal-App:
•    In der PayPal-App ins PayPal-Konto einloggen.
•    Unten rechts auf „Wallet“ tippen.
•    Dann oben rechts auf „Aktivitäten“ tippen.
•    Auf die Zahlung tippen, die nicht genehmigt wurde.
•    Auf „Problem melden“ tippen.
•    Im nächsten Schritt stehen verschiedene Optionen zur Auswahl. Hier zum Bereich „Unbefugter Zugriff auf Ihr PayPal-Konto“ scrollen und „Ich habe den Verdacht, dass jemand anderes auf mein Konto zugreift“ wählen und den weiteren Schritten folgen.

Sobald die nicht genehmigte Zahlung gemeldet wurde, untersucht PayPal diese und meldet sich innerhalb von zehn Tagen per E-Mail bei dem/der Kund:innen.

Um es auf den Punkt zu bringen: Sie haben viel geschrieben, das wirklich Wichtige bleibt außen vor. Wirklich wichtig wäre gewesen zu erfahren, wie die Cyberkriminellen an die Login-Daten der Netto App gelangt sind.

Lars Sobiraj

Über

Lars Sobiraj fing im Jahr 2000 an, als Quereinsteiger für verschiedene Computerzeitschriften tätig zu sein. 2006 kamen neben gulli.com noch zahlreiche andere Online-Magazine dazu. Er ist der Gründer von Tarnkappe.info. Früher brachte Ghandy, wie er sich in der Szene nennt, an verschiedenen Hochschulen und Fortbildungseinrichtungen den Teilnehmerinnen und Teilnehmern bei, wie das Internet funktioniert. In seiner Freizeit geht er am liebsten mit seinem Hund spazieren.