Seit dem Jahr 2000 gibt es in Deutschland das Payback-Bonusprogramm, das über 600 Partner-Unternehmen wie Aral, Rewe und Tchibo umfasst. Kunden können in diesen Filialen Payback-Punkte sammeln und gegen Prämien oder Bargeld einlösen. Doch in letzter Zeit häufen sich die Fälle von Datenklau, bei denen Cyberkriminelle Zugriff auf Payback-Konten nehmen und die Punkte einlösen. Tausende Kunden, vor allem in Nordrhein-Westfalen, sind davon betroffen und der Schaden geht bereits in die Hunderttausende.
Laut Unternehmensangaben sammeln fast 30 Millionen Deutsche Payback-Punkte. Unbekannte Datendiebe haben jedoch eine Welle der Empörung unter zahlreichen Payback-Nutzern ausgelöst, indem sie sich Zugang zu fremden Paybackkonten verschafften und die Punkte vor allem in Supermärkten und Discountern einlösten, insbesondere bei Rewe. Die Facebook-Gruppe "Payback-Geschädigte" mit rund 1․000 Mitgliedern deckte diesen Betrug auf und ebenfalls auf dem Bewertungsportal "Trustpilot" berichten Opfer in Hunderten Kommentaren über den Punkteklau.
Um das Guthaben auszuzahlen ist jedoch eine Kontoüberweisung nicht weiterhin möglich, allerdings man muss zum Punkteeinlösen in den Laden gehen und an den Automaten Gutscheine holen. Der Kauf anderer Gutscheine von den gesammelten Punkten ist ausgeschlossen, da dies unter das Geldwäschegesetz fällt. Allerdings könnten Kassierer beim Gutschein einlösen die Payback-Karte die App oder die virtuelle Karte auf dem Handy zum Einsehen verlangen um den Kunden zusätzlich zu schützen.
Eine Sprecherin von Payback stellt fest, dass "die Zahl der Fälle gestiegen ist, seit es Corona gibt". Dem Unternehmen ist das Problem bekannt jedoch sie weisen eine Schuld von sich und geben an, dass keine Sicherheitslücke im Unternehmen bekannt ist. Payback ist eine deutsche Firma, gehört aber seit einigen Jahren zum US-amerikanischen Zahlungsdienstleister American Express der auf sehr gute Sicherheitssysteme setzen kann.
Da American Express als Kreditkartenspezialist im Bereich sicherer Transaktionen weltweit führend ist gibt Payback bekannt gestohlene Punkte nicht zurückzugewähren. Das Unternehmen erwägt jedoch, seine Sicherheitsmaßnahmen zu verschärfen, beispielsweise durch die Einführung einer Zwei-Faktor-Authentisierung (2FA), bei der sich die Punkte erst mittels Codeeingabe einlösen lassen der zuvor auf das Smartphone des rechtmäßigen Besitzers gelangt.
Als Ausgangspunkt für den Datendiebstahl verschicken Cyberkriminelle gefälschte E-Mails, in denen ein mitgeschickter Trojaner bereits auf Nutzereingaben zu Passwörtern wartet um diese aufzuzeichnen und weiterzuleiten. Ein mitgeführter Link in Mails erfüllt den gleichen Zweck. Füllt man diese aus – haben die Kriminellen bereits persönliche Daten erbeutet. Auf Plattformen wie dem Crimenetwork gibt es zudem Tutorials für Spammer und Phisher, sodass nicht einmal Vorwissen erforderlich ist. Die erbeuteten Daten landen zumeist in Darknet-Foren wo sie gegen Bitcoin anderen Kriminellen zum Kauf angeboten werden. Loggt sich nun jemand mit den korrekten Daten ein ist er für das System der rechtmäßige Benutzer und erhält Zugang.
Phishing-Angriff auf Payback-Kunden
Payback, eines der bekanntesten Bonusprogramme in Deutschland, hat vor kurzem seine Kunden vor einer Phishing-Attacke gewarnt. Einige Kunden haben in den letzten Wochen E-Mails erhalten die den Anschein erwecken, sie kämen von Payback. Die E-Mails fordern die Empfänger auf ihre persönlichen Daten zu aktualisieren da es sonst zu einem Verlust kommen würde. In der E-Mail ist ein Link enthalten der angeblich auf eine Payback-Seite verweist, tatsächlich aber zu einer Phishing-Seite führt.
Payback-Kunden die eine solche E-Mail erhalten haben, sollten umgehend ihr Passwort ändern und Strafanzeige bei der örtlichen Polizeidienststelle erstatten. Auch bei verdächtigen Aktivitäten im Payback-Konto sollte man schnell reagieren und das Passwort ändern.
Sichere Passwörter sind ein guter Schutz gegen Phishing-Attacken. Ein Passwort sollte einmalig für jeden Account verwendet werden und keine persönlichen Informationen wie Namen oder Geburtsdaten enthalten. Auch Muster wie ?QWERTY? oder ?QWEASD? sollten vermieden werden. Das Passwort sollte ausschließlich für das Bonusprogramm verwendet werden und nicht für andere Dienste.
Phishing-E-Mails lassen sich oft an bestimmten Merkmalen erkennen, exemplarisch an einer unpersönlichen Anrede, einem dringenden Handlungsbedarf oder der Verheißung von Belohnungen. Auch falsch aufgelöste Umlaute oder kyrillische Buchstaben können Hinweise auf eine gefälschte E-Mail sein.
Payback empfiehlt seinen Kunden, verdächtige E-Mails an phishing@payback.de weiterzuleiten um andere Nutzer vor Phishing-Attacken zu warnen. Über den Dienst Pwned Passwords können geknackte Passwörter identifiziert werden.
Bonusprogramme wie Payback sind Teil eines Geschäftsmodells, bei dem Unternehmen die persönlichen Daten ihrer Kunden erfassen und für ihre Zwecke nutzen. Payback kennt die Adressen; das Geschlecht und das Alter seiner Kunden und auch deren Einkaufsgewohnheiten. Dadurch lassen sich detaillierte Käufer-Profile erstellen und spezielle Angebote auf den Kunden zuschneiden. Obwohl solche Programme das Datenschutzrecht nicht verletzen » sollten sich Kunden bewusst sein « dass sie ihre Daten gegen Rabatte eintauschen.
Der Reiz, an einem Bonusprogramm teilzunehmen liegt oft im Punktesammeln und im emotionalem Erlebnis das damit verbunden ist. Kunden fahren manchmal extra zu einer bestimmten Tankstelle um Bonuspunkte zu sammeln. Es ist ein Spieltrieb den Unternehmen erzeugen sagt Arnd Engeln, Professor für Markt und Werbeforschung an der Hochschule der Medien in Stuttgart.
Um sich vor Phishing-Angriffen zu schützen, sollten Kunden sichere Passwörter verwenden und verdächtige E-Mails an den Anbieter weiterleiten. Bonusprogramme sind Teil eines Geschäftsmodells bei dem Kunden ihre Daten gegen Rabatte eintauschen. Kunden sollten wissen – dass Unternehmen ihre persönlichen Daten erfassen und für ihre Zwecke nutzen.
Kommentare