Immer mehr Nutzer klagen, dass ihre sauer ersparten Payback-Punkte plötzlich verschwunden sind. Dahinter könnte eine Abzockmasche stecken, vor der eine Verbraucherzentrale warnt.

Es ist wohl eine der meistgestellten Fragen an deutschen Supermarktkassen: "Haben Sie eine Payback-Karte?" Denn mit nach eigenen Angaben 31 Millionen Mitgliedern ist Payback das größte Rabattprogramm in Deutschland. Doch wie die Verbraucherzentrale Nordrhein-Westfalen berichtet, klagen immer mehr Nutzer*innen, dass ihre über Jahre sauer ersparten Prämienpunkte von Online-Kriminellen gestohlen wurden. "In großer Zahl ärgern sie sich über verschwundene Punkte - oftmals im Wert von 50 oder 100 Euro, teilweise sogar weit darüber." Die unbekannten Diebe würden die Punkte zumeist in Supermärkten und Discountern, allen voran Rewe, einlösen, so die Verbraucherzentrale.

Passwort-Diebstähle und Fake-Mails

Unklar ist bislang jedoch, wie die Kriminellen überhaupt an die Punkte kommen. Eine Sicherheitslücke im eigenen System schließt Payback gegenüber dem Technologieportal "Heise" aus. "Wir prüfen unsere Plattform rund um die Uhr und sichern sie gegen unbefugte Zugriffe ab."

Wahrscheinlicher ist, dass die Schwachstelle die Mitglieder selbst sind. Entweder, weil sie unsichere Passwörter wählen, um ihren Payback-Account abzusichern, oder weil sie auf sogenannte Phishing-Mails hereinfallen. Die sind dem Konzern schon länger ein Dorn im Auge. Mit täuschend echt aussehenden Mails wird regelmäßig versucht, die Log-in-Daten von Payback-Kund*innen abzugreifen. Um ihre Opfer aufs Glatteis zu führen, locken sie etwa mit der Verdopplung des Punktestands.

Abzocke am Payback-Terminal

Anschließend begeben sich die Kriminellen an die Payback-Terminals, die in vielen Supermärkten aufgestellt sind. An ihnen ist es möglich, sich mit Hilfe des Kassenbons nachträglich Punkte gutschreiben zu lassen, aber auch das bestehende Punkteguthaben in Gutscheine umwandeln zu lassen. Diese Möglichkeit wird genutzt, um die Punkte anonym in Bargeld umzuwandeln.

Dass einige Terminals keine weiteren Faktoren zur Authentifizierung verlangen - etwa Geburtsdatum, Postleitzahl der Wohnanschrift oder die physische Karte - ist aus Sicherheits-technischer Sicht bedenklich. Der Payback-Konzern prüfe laut eigener Aussage weitere Optionen.

Wer auf diese Weise Payback-Punkte verloren hat, schaut allerdings in die Röhre. Das Unternehmen erklärt, die Nutzer*innen seien selbst für die Sicherheit ihres Accounts zuständig, weshalb es kein Anrecht auf Kulanz gebe. Heißt: Wurden die Punkte ausgegeben, sind sie unwiederbringlich verloren.

Quellen: Verbraucherzentrale NRW, Heise

