Ärger bei Payback: Kunden klagen über massenhaften Punkteklau

Dagmar Grauvogl hat viel Geld ausgegeben, um sich 8.500 Payback-Punkte zu verdienen. Die Prämie kassierte am Ende ein Betrüger. Der Punkteklau hat System. Payback sieht die Schuld beim Nutzer.

Jessica Wagner ist aus München, Dagmar Grauvogl schreibt aus Waldbronn und Janine Wacker lebt in Mönchengladbach: drei Frauen, die sich persönlich nicht kennen, in unterschiedlichen Branchen arbeiten – und sich vermutlich auch nie getroffen hätten. Aber eine Sache hat sie zusammengeführt: Sie alle sind Opfer einer Betrugsserie geworden. Kriminelle haben ihnen Payback-Punkte gestohlen.

So sagt Dagmar Grauvogl, dass ihr 8.500 Punkte fehlen – das entspricht 85 Euro: "Der Dieb hat mit meinen Punkten zwei Gutscheine erstellt, einmal in Höhe von 35 und einmal in Höhe von 50 Euro", sagt sie im Telefonat mit t-online.de. "Mit den Punkten wollte ich eine Bluetooth-Box für meine Tochter kaufen. Die liegt bei 8.999 Punkten."

t-online.de konnte nicht alle Angaben der Betroffenen überprüfen. Aber Grauvogl und die anderen beiden Frauen sind nicht allein. Auf dem Bewertungsportal "Trustpilot" lassen sich bis April 2020 Hunderte Kommentare finden, die von einem Punkteklau berichten. Auch in den Google-Bewertungen zu Payback schreiben Nutzer über "Punktediebstahl". Zudem gibt es eine Facebook-Gruppe namens "Payback Geschädigte": Hier gehen erste Berichte bis zum März 2020 zurück. Die Gruppe zählt zurzeit mehr als 950 Mitglieder. Die Zahl steigt täglich.

Tausende Payback-Punkte verschwunden

Nutzer können ihre Payback-Punkte an entsprechenden Terminals in Supermärkten gegen Einkaufsgutscheine tauschen. Alternativ können sie auch mit der Payback-App zahlen oder gegen Punkte Prämien erwerben. Um aber auf Grauvogls 8.500 Punkte zu kommen, müssen Nutzer im Normalfall lange sammeln. Denn für einen Einkaufswert von zwei Euro erhalten sie für gewöhnlich einen Punkt. User wie Grauvogl setzen darum Gutscheine ein, um ihr Konto schneller zu füllen: "Ich hatte erst neulich Waren im Wert von 65 Euro gekauft und einen 100-fach-Gutschein dafür genutzt, den ich von Payback zum Geburtstag bekam", sagt sie.

• Payback: Lohnt sich das Punktesammeln?

Auch Janine Wacker aus Mönchengladbach nutzt solche Aktionen. Dennoch brauchte sie knapp neun Monate, um auf ihre 9.500 Punkte zu kommen – die ihr dann geklaut wurden. "Die sind beim Rewe eingelöst worden", sagt sie. "Aber ich war da nicht mal beim Rewe. Und dreisterweise wurden mir dann auch für den Einkauf 47 Punkte gutgeschrieben." Mit den Punkten wollte Wacker ein Hundebett für ihre zwei Bulldoggen kaufen. "Das kostet eigentlich 125 Euro, aber die 30 Euro hätte ich noch daraufgelegt."

Dieb nutzt Payback-Punkte für Mückenspray

In der Facebook-Gruppe vermuten manche Nutzer, dass nur Kunden mit sehr vielen Punkten vom Diebstahl betroffen seien. Auch scheinen die Diebe meist Einkaufsgutscheine zu erstellen. Die Einkäufe selbst variieren: Manche Nutzer berichten, dass die Unbekannten Lebensmittel erworben haben. Andere sprechen von Gutscheinen wie von Paysafe oder Amazon.

Jessica Wagner aus München sagt t-online.de, dass der Unbekannte mit ihren Punkten in einem DM in Düsseldorf ein Mückenspray gekauft habe: "Dafür habe ich dann auch 42 Punkte gutgeschrieben bekommen." Ein schwacher Trost: Wagner selbst wurden mehr als 20.000 Punkte gestohlen – also etwa 200 Euro. "Darauf habe ich etwa eineinhalb Jahre gespart", sagt sie. Wie viele andere auch, hat sie bei der Polizei Anzeige erstattet. Online finden sich bereits entsprechende Presseberichte von Polizeistellen in Deutschland.

Eine Sache Sache scheint aber bei vielen Betroffenen übereinzustimmen: Der Punkteklau findet überall in Deutschland statt – und oft in einem Geschäft weit weg vom Wohnort der Geschädigten. Das zeigt ein Blick in die Kommentare der Facebook-Gruppe. So schreibt eine Nutzerin: "Uns wurden 32.150 Punkte bei dem (Rewe, Anm. d. Red.) in Fürth 'geklaut'. Ich wohne in der Nähe von Hannover." Dagmar Grauvogl aus Waldbronn sagt, dass ihr Gutschein in einem Rewe-Markt in Kappeln eingelöst wurde: "Das ist acht Autostunden entfernt." Bei Jessica Wagner aus München hat der Dieb mit ihren Punkten in einem DM in Düsseldorf eingekauft – also mehr als sechs Autostunden entfernt. Sie selbst befand sich zu diesem Zeitpunkt nachweisbar in München.

Payback: "Keine Sicherheitslücke"

Es ist nicht das erste Mal, dass Betrüger auf diese Weise an Punkte von Payback-Nutzern kommen. 2016 berichteten Medien wie die Münchner "Abendzeitung" über ähnliche Fälle. Damals sagte Payback, dass die Betroffenen Opfer von Phishing-Angriffen geworden seien.

Bei den aktuellen Fällen argumentiert das Unternehmen ähnlich: "Wir prüfen die Plattform rund um die Uhr, Payback hat keine Sicherheitslücke", schreibt eine Sprecherin auf Nachfrage von t-online.de. "Das Problem liegt ein paar Schritte davor und heißt 'Internetkriminalität'".

So listet die Sprecherin verschiedene Möglichkeiten, wie die Kriminellen an Nutzerdaten – und somit ans Punktekonto – gekommen sein könnten. So können Nutzer unsichere Passwörter verwendet haben, oder dieselbe Mail-Adresse und Passwort bei verschiedenen Accounts nutzen. Es könne sich auch Schadsoftware auf dem Rechner befinden, oder Nutzerdaten aus vergangenen Hacks wurden im Darknet verkauft. "Aber die häufigste Art ist Phishing, also gefälschte Mails", schreibt die Sprecherin.

Tatsächlich verschicken Kriminelle oft und gerne Phishing-Mails, um an Nutzerdaten zu gelangen. Mehr dazu lesen Sie hier. Payback warnt auf seiner Website ebenfalls vor gefälschten Mails im Namen des Unternehmens. Auch Datenhandel im Darknet ist keine Seltenheit. Erst Anfang Juli wurde bekannt, dass Milliarden Zugangsdaten vor allem im Darknet verkauft werden. Solche Daten erhalten Kriminelle beispielsweise aus Datenbanklecks. Auf bestimmten Websites können Nutzer prüfen, ob ihre E-Mails Opfer eines solchen Lecks geworden sind. Mehr dazu lesen Sie hier.

Auch Payback weist in einer Mail auf solche Seiten hin. Das Unternehmen erklärt auch, dass bei manchen Nutzern nachweislich Unbekannte Zugriff auf ihre E-Mail-Konten gehabt haben.

"Wir verwenden einen Passwort-Manager"

Solche Vorwürfe empören die geschädigten Nutzer. So schreibt ein Betroffener t-online.de zum Thema Phishing-Mails: "Hier wird die Schuld den Nutzern in die Schuhe geschoben, obwohl ich in meinem Fall nicht auf irgendwelche Phishing-Mails geklickt habe". Auch in der Facebook-Gruppe garantieren viele User, dass sie nicht auf Betrugsnachrichten hereingefallen sind.

Zumindest einige Nutzer sagen aber auch auf Anfrage von t-online.de, dass ihre Mail-Adresse in der Vergangenheit Opfer eines Datenbanklecks geworden war. Das ergab eine Prüfung mit der Seite "haveibeenpwned.com". Manche User in der der Facebook-Gruppe schreiben aber auch, dass sie regelmäßig ihre Kennwörter ändern. Jessica Wagner aus München sagt zum Thema: "Wir verwenden einen Passwort-Manager von Apple. Das Kennwort besteht also aus vielen Zeichen, Sonderzeichen und Zahlen."

Einige User vermuten, dass Payback selbst gehackt wurde – was das Unternehmen bestreitet. Andere Nutzer kritisieren, dass ein Log-In in den Payback-Account oder am Terminal für Gutscheine auch per Geburtsdatum oder Postleitzahl funktioniere. Das sei zu unsicher. Auf Anfrage des Fachportals "heise online" sagt Payback, dass "PIN, Postleitzahl und Geburtsdatum bei dem Punkteklau keine große Rolle" spielten.

Auch bemängeln User, dass Payback keine Zwei-Faktor-Authentifizierung anbiete. Bei so einem System müssen Nutzer die Anmeldung gesondert bestätigen. Online-Shops wie Amazon oder auch Banken bieten solche Verfahren an. Hier schreibt Payback auf Anfrage von t-online.de: "Wir ziehen eine Zwei-Faktor-Authentifizierung für die Zukunft durchaus in Erwägung."

Täter auf Überwachungsvideos zu sehen

Was einige Nutzer in der Facebook-Gruppe zu ärgern scheint, sei das Verhalten von so manchem Payback-Service-Mitarbeiter. Janine Wacker aus Mönchengladbach sagt: "Als ich wissen wollte, in welchem Rewe der Dieb eingekauft hat, hatten sich die Mitarbeiter zunächst quergestellt". Als sie die Informationen dann doch bekam, meldete sie sich beim entsprechenden Rewe. "Aber das war dann zu spät und die Aufnahmen der Überwachungskamera waren bereits gelöscht."

Viele Nutzer in der Facebook-Gruppe berichten aber auch, dass sie diese Informationen ohne Probleme erhalten haben. Jessica Wagner aus München sagt, dass der DM in Düsseldorf nach ihrer Kontaktaufnahme die Überwachungsaufnahmen für die Polizei gesichert habe. In der Facebook-Gruppe loben zudem viele User das Verhalten von Supermarktmitarbeitern bei verschiedenen Rewes. Eine Nutzerin schreibt auch, dass ein Rewe einen Täter gefasst habe. Solche Angaben konnte t-online.de nicht prüfen.

Betroffene erhalten Punkte nicht zurück

Wer hinter den Diebstählen steckt, lässt sich bisher nicht sagen. In den Kommentaren sprechen Nutzer von jungen Männern, die auf Überwachungsaufnahmen zu sehen waren. Ein User berichtet t-online.de. "Die Rewe-Filiale konnte die Videos sichern und mir mitteilen, dass es ein junger Mann war." Die Polizei Halle hatte auch im März ein Überwachungsfoto eines Mannes veröffentlicht, der schon im November 2019 auf sieben Payback-Konten zugegriffen haben soll.

Die gestohlenen Punkte erhalten die Betroffenen aber nicht zurück. Payback schreibt dazu: "Es liegt kein Verschulden von PAYBACK vor, auch nicht der PAYBACK Mitarbeiter oder der Mitarbeiter von Partnerunternehmen." Und: "Es besteht keine Verpflichtung, da unser System selbst sicher ist. Wir leben in einer digitalen Welt und es geht hier um Betrug im Netz."

Viele Nutzer zeigen sich von so einem Feedback enttäuscht. In der Gruppe schreiben manche, dass sie wohl in Zukunft keine Punkte sammeln werden – so auch Jessica Wagner aus München: "Ich mache das gerne, aber in Zukunft werde ich auf wohl andere Cashbackportale zurückgreifen", sagt sie. "Eigentlich bin ich ja Payback-Fan und ich weiß, warum sie meine Daten wollen und was sie damit machen. Aber am Ende des Monats will ich natürlich auch etwas davon haben."

Update: Es wurde ergänzt, dass Payback auf seiner Website unter anderem auf Phishing-Mails aufmerksam macht.