Jemand hat Payback-Punkte in Guthaben für einen Discounter eingelöst und dann mit dem Guthaben in einem Geschäft lokal eingekauft.
Ein Geschäft, in dem ich noch nie war, dutzende Kilometer von meinem Standort entfernt.
Eine App-Aktivierung habe ich nie vorgenommen. (Da ich kein Smartphone besitze.)
Anruf bei Payback: Das müsse meine Schuld sein, weil ich mein Onlinekonto nicht genügend gesichert hätte.
Allerdings: Man hätte KEINERLEI Einsicht in Aktivitäten der Webseite, könne also nicht prüfen, ob eine IP-Adresse mit einem fremden Standort benutzt wurde oder überhaupt irgendwas einsehen.
Die Frage ist: Wie wäre das technisch überhaupt möglich?
Ich greife auf die Webseite nur vom heimischen PC zu und der ist sehr gut gesichert. 100%ige Sicherheit gibt es natürlich nicht, aber ich wüsste nicht, wie das funktionieren könnte.
Verdächtige Aktivitäten konnte ich keine finden oder nachweisen.
Es scheint so – bitte korrigiere man mich – dass man offenbar am Service-Point in den Märkten wohl Zugriff auf die Punkteeinlösung hat, wenn man Geburtsdatum und Postleitzahl des Opfers kennt.
Allerdings wüsste ich nicht, woher jemand überhaupt meine Payback-Nummer haben könnte. Es gibt nur zwei Karten – eine hab ich, die andere meine Partnerin.
Ein Smartphone habe ich gar nicht, nur eine alte Keule von Handy, die nix kann.
Anzeige wird auf jeden Fall erstattet; dennoch dachte ich, ich frage mal nach Ideen, welchen möglichen Angriffspunkt es noch gibt.
Abgesehen davon kann es viele Szenarien geben. Phishing, Trojaner usw. Es gibt viele Möglichkeiten, die du nicht unbedingt bemerkst auch wenn du glaubst, deinen Rechner gut abgesichert zu haben.
Eine Frage - mit welchem Profil surfst du ?
Bzw ist es ein Win oder Linux PC?
Phishing kann in dem Szenario ausgeschlossen werden, jedenfalls sofern es sich um Mail-Phishing handelt.
Trojaner, die durch Anhänge oder dergleichen kommen ebenfalls - ich prüfe jede Mail, die irgendwie komisch rüberkommt und habe Skripte und HTML/JavaSkript in meinem Mail-Client deaktiviert (ich sehe nur den blanken Text).
In meinem Browser ist praktisch alles deaktiviert (Skripte, Werbung usw.). Ich sehe erstmal nur blanken Text und checke immer die Domain in der Browser-Zeile.
Ja das mag alles korrekt sein und auch so passen.
Dennoch kann es sein, dass du wie 99,9% aller User, zum Surfen kein explizites Gast-Konto ohne jegliche Rechte nutzt, sondern dein Admin Profil.
Ein Besuch auf einer präparierten Seite und dein Rechner ist kompromittiert. Das wäre auch ein weiteres Szenario. Also die Möglichkeiten sind groß. Denn die Leute vergessen einfach, dass Malware automatisch die Rechte des angemeldeten Users übernimmt.
Wenn das Geschäft tatsächlich „nur ein paar dutzend Kilometer“ entfernt war würde ich da tatsächlich eher auf einen „lokalen“ faktor im umfeld tippen als irgendeinen komplizierten hack.
Normalerweise gehöre ich zu den Leuten, die sagen, dass das Problem vor dem Rechner sitzt. Bei Payback sehe ich das anders, weil es da einfach zu viele Betrugsfälle gibt. Bei der Angebotsplattform Mydealz findest du in den Deals und Diskussionen genug Opfer.
Eine Kombi von PLZ und Geburtsdaten halte ich bei den vielen Leaks nicht für sicher.
Ich würde dir raten, falls du das System zukünftig weiterbenutzen möchtest, dir die Punkte regelmäßig auf dein Konto auszahlen zu lassen: payback.de/bargeld
Nun … wie geschrieben: Das Geschäft war dutzende Kilometer von meinem Standort entfernt.
Eine Payback-Karte hat meine Freundin und meine Eltern. Erstere war zu dem Zeitpunkt selbst auf Arbeit, die Eltern waren daheim.
Was mir noch auffiel: Auf rewe.de, was ja mit Payback verknüpft ist, wurde ein neuer Standort eingegeben. (Oben rechts dort im Portal erkennbar.)
Der wiederum liegt hunderte Kilometer entfernt - sowohl von mir zu Hause, als auch vom Standort des Geschäftes.
Ein Ort mitten im Nirgendwo, während ich in einer Großstadt wohne (und das Geschäft, wo die geklauten Punkte benutzt wurden auch.)
Auffällig ist sicher noch, dass der Geschäft, wo die Punkte eingelöst wurden, in einem Brennpunktviertel in der Stadt liegt.
Payback-Karte abfotografiert worden? Payback-Nummer irgendwo eingegeben? Steht die nachher auf irgendeinem Beleg/Kassenbon, den jemand gelesen hat? Also da fallen mir noch viele Sachen in der Offline-Welt ein…
Das Einlösen nur mit Payback-Nummer und Geburtsdatum wird übrigens im Moment abgeschafft… vermutlich wegen genau solchen Missbrauchsfällen. Weil Paybacknummer und Geburtsdatum sind wirklich einfach zu „erlesen“.
Einfach mal schauen was Leute so in der Geldbörse offen oder in transparenten Einschüben zeigen. Da muss nur jemand sich was gut merken können… oder Leute stehen mit den angepriesenen Daten minutenlang an irgendeiner Theke (Kneipe, Baumarkt, und wo noch…)
Also da gibt es auch bei euch tausend Möglichkeiten neben dem Computer. Und in Deinem Fall haben vier Personen eine Karte, da weisst du nie wie sich alle in jeder Situation verhalten. Ist einfach menschlich und nichts schlimmes. Könntest das mal als Aufhänger nehmen ins Gespräch zu kommen zum Thema wie zeige ich meine Geldbörse o.ä… (im eigenem Umfeld hatte ich auch die „Datenanpreiser“ mit Bankkarte in einem transparentem Fach… ist also nichts ingewöhnliches)
Das ist echt High-Tech. Warum sollte man das abschaffen? Ehrlich.
Bei uns wird man an der Supermarktkasse gefragt, ob man Punkte sammelt und die meisten Kunden sagen ja und sagen ihre persönlichen Steuernummer auf (8 stelliige Zahl + Zahl oder Buchstabe, wobei die erste Zahl meist eine 1 oder 2 ist), die die Benutzer-ID ist und die sich jeder, der daneben steht notieren kann.
Wenn ich dann noch sehe, dass auf dem PIN-Pad des Bezahlterminals eindeutige Präferenzen zu erkennen sind (habe mal für eine kleine Studie diverse Bezahlterminals abfotografiert und gesehen, dass 1 die meistbenutzte Zahl ist und die anderen Zahlen auch mehr oder weniger häufiger genutzt werden. Dazu muss man wissen, dass man die PIN der Bankkarten ändern kann), dann kann ich mit hoher Wahrscheinlichkeit das Passwort des Online Zugangs der meisten Nutzer voraussagen, bzw. auch die PIN deren Bankkarte.
Experte ist man nicht per Geburt, sondern man wird es erst – auch durch Teilnahme an solchen Foren.
Wir haben zum Glück keine Eingangsprüfung bezüglich Vorkenntnissen und Überzeugungen.