Payback-Bonusprogramm: Datenklau bringt Kunden um ihr Guthaben

Aktuell häufen sich die Fälle, bei denen Cyberkriminelle Zugriff auf Payback-Konten nahmen und die Payback-Punkte einlösten.

Payback
Payback Foto stux, thx!

Bereits seit dem Jahr 2000 gibt es das Payback-Bonusprogramm. Inkludiert sind über 600 renommierte Partner-Unternehmen, wie Aral, Rewe, Tchibo u.a. Beim Einkaufen in diesen Partner-Filialen können die Teilnehmer Payback-Punkte sammeln und gegen Prämien oder Bargeld einlösen. Aktuell allerdings häufen sich, besonders in NRW, die Fälle, bei denen Cyberkriminelle Zugriff auf Payback-Konten nahmen und die Payback-Punkte einlösten. Der Schaden gehe bereits in die Hunderttausende. Tausende Geschädigte gingen offenbar leer aus, berichtet die Westdeutsche Allgemeine Zeitung (WAZ, Samstagausgabe).

Gemäß Unternehmensangaben sammeln fast 30 Millionen Deutsche Payback-Punkte. Aktuell lösten unbekannte Datendiebe eine Welle der Empörung unter zahlreichen Payback-Nutzern aus. Wie sich zeigte, haben sich Kriminelle Zugang zu fremden Paybackkonten verschafft und die mühsam geammelten Punkte, zumeist in Supermärkten und Discountern, vornehmlich bei Rewe, eingelöst. Dies deckte die Facebook-Gruppe „Payback-Geschädigte“ mit rund 1.000 Mitgliedern auf. Aber auch auf dem Bewertungsportal „Trustpilot“ berichten Opfer in Hunderten Kommentaren über den Punkteklau. Zudem schrieben User in Payback-Google-Bewertungen über den Punktediebstahl. Die Verbraucherzentrale Nordrhein Westfalen erreichten gleichfalls gehäuft Meldungen zum Thema.

Zusätzlicher Kundenschutz möglich

Um auszucashen, ist eine Kontoüberweisung nicht mehr möglich. Man muss zum Punkteeinlösen in den Laden gehen und an den Automaten Gutscheine holen. Damit ist dann ein Einkauf möglich. Allerdings ist auch ein Kauf anderer Gutscheine von den gesammelten Punkten ausgeschlossen, weil das unter das Geldwäschegesetz fällt. Der Kunde könnte noch zusätzlich geschützt werden, indem die Kassierer beim Gutschein einlösen wieder die Payback-Karte. die App oder die virtuelle Karte auf dem Handy zum Einsehen verlangen würden.

Payback: Keine Schuld – keine Punkte-Rückvergütung

Eine Payback-Sprecherin stellt fest: „Die Zahl der Fälle ist gestiegen, seit es Corona gibt“. Dem Unternehmen ist das Problem bekannt, allerdings weisen sie eine Schuld von sich. Ihnen ist keine Sicherheitslücke im Untenehmen bekannt: „Wir prüfen unsere Plattform rund um die Uhr und sichern sie gegen unbefugte Zugriffe ab. So schützen wir sämtliche Daten und die Payback Punkte vor Diebstahl“. Payback ist eine deutsche Firma, gehört aber seit einigen Jahren zum US-amerikanischen Zahlungsdienstleister American Express. Gerade durch die Zusammenarbeit kann das Unternehmen auf sehr gute Sicherheitssysteme setzen.

American Express ist als Kreditkartenspezialist im Bereich sicherer Transaktionen, sowohl im Internet, als auch in den Ladengeschäften, eines der weltweit führenden Unternehmen. Darum gibt Payback bekannt, gestohlene Punkte leider nicht zurückzuvergüten. Payback erwägt aufgrund des Vorfalls, die Sicherheitsmaßnahmen zu verschärfen. Unter anderem könne eine Zwei-Faktor-Authentisierung (2FA) Abhilfe schaffen. Dann würden sich die Punkte erst mittels Codeeingabe einlösen lassen, der zuvor auf das Smartphone des rechtmäßigen Besitzers landet.

Datendiebstahl-Ursache liegt in Phishing-Mails

Als Ausgangspunkt für den Datendiebsahl verschicken Cyberkriminelle gefälschte E-Mails, in denen ein mitgeschickter Trojaner bereits auf Nutzereingaben zu Passwörtern wartet, um diese aufzuzeichnen und weiterzuleiten. Ein mitgeführter Link in Mails erfüllt den gleichen Zweck. Er führt zu gefälschten, täuschend echt aussehenden Webseiten mit Passwort-Eingabeaufforderungen. Füllt man diese aus, haben die Kriminellen bereits die persönlichen Daten erbeutet. Auf Plattformen, wie dem Crimenetwork gibt es zudem Tutorials für Spammer und Phisher. Befolgt man die Anweisungen, ist nicht einmal Vorwissen erforderlich. Zumeist finden die auf diese Weise erbeuteten Daten infolge den Weg in Darknet-Foren, wo sie gegen Bitcoin anderen Kriminellen zu Kauf angeboten werden. Loggt sich nun jemand mit den korrekten Daten ein, ist er für das System der rechtmäßigen Benutzer und erhält Zugang.

Wie die Verbraucherzentrale rät, sollten Geschädigte das Passwort für den Online-Zugang oder die App ändern, um weiteren Missbrauch zu unterbinden. Zudem sollten sie Strafanzeige bei der örtlichen Polizeidienststelle erstatten. Aber auch bei verdächtigten Aktivitäten in dem Payback-Konto sollte man schon reagieren. Ein Verdacht, dass eine andere Person das Passwort kennen könnte oder falls Schadsoftware den Computer infiziert hat, sollte zur sofortigen Passworänderung zum Schutz des Accounts führen.

Passwort-Anforderungen

Sichere und für jeden Account einmalig verwendete Passwörter bieten bereits einigen Schutz. Enthalten sein sollten:

  • Buchstaben, Sonderzeichen und Zahlen
  • Groß- und Kleinschreibung
  • Mindestens acht Zeichen – je mehr, desto besser

Ein persönlicher Bezug zum Passwort sollte gänzlich fehlen. Namensverweise oder Geburtsdaten wären somit absolut tabu. Auch vor Tastatur-Mustern, wie ‚QWERTY‘ als Passwort oder ein „Viereck“, wie ‚QWEASD‘, wird gewarnt. Das Passwort ist weiterhin nur einzig bei dem Bonusprogramm zu nutzen. Eine PW-Verwendung bei verschiedenen Diensten geht mit hohen Risiken einher. Ein potentieller Hacker könnte dann gleich auf alle Accounts zugreifen.

Schutz vor Phishing E-Mail-Angriffen

Phishing

Payback gibt Tipps zum Schutz vor möglichen Phishing-Angriffen:

  • Die E-Mail stammt nicht vom Absender payback.de
  • Der Link in der E-Mail verweist nicht auf payback.de – dies erkennen Sie, indem Sie die Maus ohne zu klicken über den Link bewegen
  • Unpersönliche Anrede, z.B. „Lieber Kunde der xy!“
  • Dringender Handlungsbedarf ist nötig, z.B. „Wenn Sie nicht sofort Ihre Daten aktualisieren, gehen diese verloren …“.
  • Laden Sie niemals Dateien herunter bzw. geben Sie nie persönliche Daten ein
  • Belohnungen werden versprochen, z.B. „Wir verdoppeln Ihre Punkte“
  • Schlechtes Deutsch in der E-Mail, da automatisch von Computerprogrammen übersetzt
  • Kyrillische Buchstaben oder falsch aufgelöste bzw. fehlende Umlaute, z.B. nur „a“ oder „ae“ statt „ä“

Sollte ein konkreter Verdacht vorliegen, dass man eine solche gefälschte E-Mail bekommen hat, gibt Payback die Möglichkeit, diese an phishing@payback.de weiterzuleiten. So können sich die Verantwortlichen ein Bild des möglichen Phishing-Angriffs machen und andere Nutzer könnten rechzeitig davor gewarnt werden. Über den Dienst Pwned Passwords können geknackte Passwörter identifiziert werden. Sicherheitsforscher Troy Hunt bietet schon länger den Dienst „Have I Been Pwned“ an. Darüber kann man nach Mailadressen oder Benutzernamen suchen, die in letzter Zeit gehackt wurden.


Payback-Bonusprogramm ist datengierig

Generell solle sich jeder gut überlegen, ob er sich an einem solchen System beteiligen möchte. So sollte klar sein, dass vor allem das Unternehmen selbst davon profitiert. Verbraucherschützer Georg Tryba warnt:

„Payback ist da nicht besser als Amazon. Beide versuchen das individuelle Kaufverhalten zu verfolgen, zu erfassen und für sich zu nutzen. Zwar verletzen solche Bonusprogramme nicht das Datenschutzrecht. Man sollte sich im Klaren sein, dass das Geschäftsmodell: ‚Meine Daten gegen miese Prozente‘ heißt.“

Konkret heißt das, Payback kennt sowohl die Adressen, das Geschlecht und das Alter der User. Zudem haben sie genaue Kenntnis darüber, wo und was man einkauft. Auf diese Weise lassen sich detaillierte Käufer-Profile erstellen und Produkte maßgeschneidert für die Kunden anbieten. Wechselt beispielsweise ein langjähriger Kunde eine Marke, könnte man ihn mit speziellen Lockangeboten wieder zurückgewinnen. Wäre ein Prozent Rabatt dafür nicht ein zu geringer Preis?

Arnd Engeln, Professor für Markt und Werbeforschung an der Hochschule der Medien in Stuttgart, ging der Frage nach, was Menschen daran reizt, mitzumachen. Er kam zu der Erkenntnis, dass die Punkte nicht aus rationalen Gründen heraus gesammelt werden:

„Für die Menschen ist das Punktesammeln ein Erlebnis. Das Punktekonto wachsen zu sehen, befriedigt uns emotional. Das führt etwa dazu, dass wir zu weit entfernten Tankstellen fahren, um unsere Payback-Punkte aufzuladen. Es ist ein wahrer Spieltrieb, den die Unternehmen erzeugen.“

Tarnkappe.info

Ich bin bereits seit Januar 2016 Tarnkappen-Autor. Eingestiegen bin ich zunächst mit Buch-Rezensionen. Inzwischen schreibe ich bevorzugt über juristische Themen, wie P2P-Fälle, greife aber auch andere Netzthemen, wie Cybercrime, auf. Meine Interessen beziehen sich hauptsächlich auf Literatur.