Dreister Payback Punkte-Klau: Tarnkappe.info live beim SWR

Beim gestrigen Magazin "Vorsicht Verbrechen" ging es um den dreisten Diebstahl von Payback Punkten, die beim Crimenetwork angeboten werden.

Payback
Payback Foto stux, thx!

Gestern hat der SWR eine neue Sendung des Kriminal-Magazins „Vorsicht Verbrechen“ ausgestrahlt. Unter anderem ging es um den dreisten Diebstahl der Payback Punkte, die beim Crimenetwork (CNW) und anderen deutschsprachigen Foren angeboten werden. Wie kommen die Cyberkriminellen an meine Punkte? Wie kann ich mich als Punktesammler vor jeglichem Missbrauch schützen?


Payback könnte den Punkteklau sofort beenden, wenn man denn wollte…

Schon vor mehreren Wochen kontaktierte uns ein Redakteur des SWR auf der Suche nach neuen Fakten über den Payback-Punkte-Klau. Unser Beitrag dazu ist zwar schon ein Jahr alt, das Thema ist aber weiterhin aktuell. Bei der Polizei und den Verbraucherzentralen melden sich derzeit unzählige Betroffene, deren Konten man leergeräumt hat. Leider gibt es bei Payback keinen Zwang zu einer mehrfachen Überprüfung der Identität. Möglich wäre es, mittels der App einen Code zu generieren oder beim Einlösen den Personalausweis oder die Punktekarte von Payback vorzuzeigen. Doch zum Wohl der Bequemlichkeit der Konsumenten hat man auf derartige Vorsichtsmaßnahmen bisher verzichtet. Man kann sogar die Punkte ganz ohne App oder Passwort einlösen, dafür sind nur ein paar persönliche Daten notwendig, die Hacker problemlos über die sozialen Netzwerke herausfinden könnten.

bigmacs payback anfänger guide

Unternehmen sieht die Schuld bei den Verbrauchern

Ab Minute 16.25 wird es interessant. Der SWR zeigt einen betroffenen Radiomoderator, der sich von seinen mühsam gesammelten Punkten eigentlich eine Hängematte für den Garten kaufen wollte. Als er auf seinem Smartphone eher zufällig den Punktestand kontrollierte, war dieser bei null angelangt. Unbekannte hatten fernab seiner Heimat seine Punkte an der Kasse eines Supermarktes oder Drogeriehandels eingelöst. Bei Payback anzurufen, hätte sich der Mann sparen können. Er trage selbst die Schuld an seinem leergeräumten Konto, gab man ihm am Telefon zu verstehen. Er sei auf eine Phishing E-Mail hereingefallen, mutmaßte man.

Tatsächlich gelangen viele Kriminelle mittels Phishing an die notwendigen Daten. Die andere Hälfte verwendet ihre Passwörter mehrfach. Wenn ich schon einmal Opfer eines Hacks wurde, muss ich damit rechnen, dass Hacker meine Passwörter überall ausprobieren. Im digitalen Untergrund bietet man Skripte an, mit denen man die für Payback relevanten Daten aus der Datenbank extrahieren und auf ihre Gültigkeit überprüfen kann. Für 20 Euro, zahlbar in Bitcoin, ist im CNW eine Anleitung in Form eines PDF-Dokumentes verfügbar. Dort wird den Hackern von morgen im korrekten Deutsch erläutert, wie man an die Punkte Dritter gelangt. Und auch, wie man sie gefahrlos einlösen kann. Die Kollegen vom SWR baten uns darum, ihnen das Tutorial zu besorgen.

payback guide

Punkte im Untergrund nicht allzu beliebt

Der Payback Punkteklau ist insgesamt nur mäßig beliebt beim CNW, weil man die Punkte nur noch im Geschäft einlösen kann. Wer das selbst nicht tun möchte, beauftragt gegen eine geringe Gebühr einen Läufer, der für einen das Risiko auf sich nimmt. Doch obwohl die Punkte bares Geld wert sind, nutzen viele Cyberkriminelle lieber andere Möglichkeiten, wo sie nicht vorstellig werden müssen. Es gibt genügend Geschäftsfelder im Untergrund, wo man alles online erledigen kann. Entsprechend geringer ist das Risiko dabei erwischt zu werden. Außerhalb Deutschlands sind die geklauten Payback Punkte kaum bekannt. Wer mittels Tor-Netzwerk in einem Darknet-Shop danach sucht, muss Glück haben, dass ein Vendor (Händler) aus Deutschland dort seine Waren anbietet. Beim Dark Commerce spielt Payback keine große Rolle. Man verkauft sie aber massenweise in deutschsprachigen Foren.

Im Videointerview habe ich sehr deutlich Kritik an Payback geübt. Es ist schlichtweg nicht ausreichend, die Kunden über das Aussehen von Phishing-Mails oder Phishing-Seiten aufzuklären. Auch wenn es etwas Mühe kostet. Payback muss 2FA per App oder das Vorzeigen des Ausweises bzw. der Punktekarte an der Kasse verpflichtend einführen. Ansonsten geht der Handel mit den gestohlenen Payback-Accounts munter lustig weiter. Dem Anbieter kann es egal sein. Es haftet immer nur der Kunde selbst. Das Bonusprogramm verfügt nach eigenen Angaben alleine in Deutschland über mehr als 31 Millionen aktive Kunden. Das heißt im Klartext, deutlich mehr als jeder Dritte Deutsche sammelt Punkte und könnte jederzeit darum gebracht werden.


Wie kann ich mich vor Missbrauch schützen?

Niemals Passwörter doppelt verwenden!! Seit kurzem kann man bei Payback die Einstellungen dahingehend ändern, dass keine Einlösung mehr ohne Passwort möglich ist. Ansonsten geht das an der Kasse alternativ durch Angabe meiner Kundennummer, meiner Postleitzahl und meinem Geburtsdatum. Wer komplett auf Nummer sicher gehen will, löst seine Punkte ein und kündigt die Mitgliedschaft. Da Payback trotz der ganzen Vorfälle noch immer nicht effektiv für unsere Sicherheit sorgen will, müssen wir das wohl selbst tun. Natürlich wäre das sehr drastisch. Doch wenn genügend Menschen diesen Schritt tun, umso schneller würde der Anbieter die Sicherheit seiner Kunden verbessern.

Wo kann ich mir den Beitrag anschauen?

Der Beitrag des Präventionsmagazins „Vorsicht Verbrechen – Sicher im Südwesten“ ist auf der Webseite der Sendung und z.B. in der ARD Mediathek verfügbar.

Tarnkappe.info

Lars Sobiraj fing im Jahr 2000 an, als Quereinsteiger für verschiedene Computerzeitschriften tätig zu sein. 2006 kamen neben gulli.com noch zahlreiche andere Online-Magazine dazu. Er ist der Gründer von Tarnkappe.info. Außerdem bringt Ghandy, wie er sich in der Szene nennt, seit 2014 an verschiedenen Hochschulen und Fortbildungseinrichtungen den Teilnehmern bei, wie das Internet funktioniert.