PAYBACK °Punkte geklaut: Was tun?

Warnung vor Phishing Anrufen: Aktuell werben Betrüger, die sich als PAYBACK Mitarbeiter:innen ausgeben, per Telefon mit einem Gewinnspiel und erfragen u.a. auch Bankdaten. Diese Anrufe sind nicht von PAYBACK!

Noch mehr Sicherheit mit der „2-Schritt-Verifizierung (2SV)“

Mit 2SV (auch unter "Second Factor Authentifizierung" bekannt) ist es möglich, das PAYBACK Konto noch besser vor unerlaubten Zugriffen zu schützen. Dies funktioniert über die PAYBACK App und eine Push-Nachricht: Bei einem Zugriff auf das PAYBACK Konto von einem anderen Gerät schickt PAYBACK eine Benachrichtigung an das zuvor registrierte, „sichere“ Gerät. Damit kann in der PAYBACK App der Zugriff freigegeben oder eben abgelehnt werden. 2SV ist in der PAYBACK App unter "Services" zu finden. Wichtig ist immer die aktuellste Version der App zu laden. Alle wichtigen Infos zu 2SV gibt es hier.

PAYBACK °Punkte geklaut: Was tun?

Wenn PAYBACK °Punkte weg sind, ist der Schreck groß: Wo eben noch zahlreiche °Punkte darauf warteten, beim nächsten Einkauf im Laden direkt an der Kasse oder auch gegen attraktive Prämien eingelöst zu werden, ist nun Leere auf dem °Punktekonto. Die °Punkte wurden geklaut, meistens auch sofort eingelöst.

Aber wie kann so etwas passieren?

Das Wichtigste zuerst: PAYBACK ist sicher

PAYBACK hat keine Sicherheitslücke. Wir prüfen unsere Plattform rund um die Uhr und sichern sie gegen unbefugte Zugriffe ab. So schützen wir sämtliche Daten und die PAYBACK °Punkte vor Diebstahl.

Unbefugte Personen verschaffen sich den Zugang zu einem Konto oder Account bereits vor dem Log-in bei PAYBACK. Das Problem heißt Internetkriminalität.

Wie kann °Punkte-Diebstahl passieren?

Kriminelle begehen im Netz Identitätsdiebstahl und besorgen sich meist die Kombination Email-Adresse + Passwort.

Das kann über verschiedene Wege der Fall sein – die häufigste Art sind gefälschte E-Mails – sogenannte Phishing-Mails. Hier werden z.B. °Punkte versprochen und meist führt ein Link auf eine gefälschte Log-in Seite, die Kunden geben hier ihre Daten ein und diese somit aus der Hand.

Doch Phishing ist nur ein Weg, Zugangsdaten zu stehlen. Es gibt leider viele andere Möglichkeiten, z.B. über Listen bereits ausspionierter Email- und Passwort-Kombinationen, die von Kriminellen im Darknet verkauft werden (Stichwort Collection #1).

Es gibt unterschiedliche Plattformen, auf denen man ganz einfach prüfen kann, ob die eigene Mailadresse bereits ausspioniert ist und im Netz in Datenlecks auftaucht, zum Beispiel beim Hasso Plattner Institut oder bei haveibeenpwned.

Manchmal nutzen Kunden aber auch ein zu unsicheres Passwort wie „passwort“, „12345“ oder „schatzi123“ und die Fraudster probieren dieses einfach aus.

Passend dazu gibt es hier Passwort-Tipps des Landeskriminalamts NRW und ihrer Präventionskampagne "Mach dein Passwort stark".

Oder User setzen leider dieselbe Email + Passwort-Kombination bei mehreren Accounts ein (ihrem E-Mail Account, aber auch bei Amazon, PayPal, PAYBACK, eBay,...), und die Kriminellen kommen dann ganz einfach überall rein. Es kann sich aber auch Schadsoftware auf dem Rechner befinden.

Die Log-In Methode in den Filialen mancher Partner z.B. mit Kundennummer, PIN / Postleitzahl und Geburtsdatum ist nicht die Schwachstelle. Um alle diese Parameter zu bekommen, müsste zuvor das E-Mail Konto gehackt worden sein, hier in Emails dann weitere Infos zu PLZ und Geburtsdatum gefunden, oder eine Geldbörse entwendet oder ein Phishingversuch erfolgreich gewesen sein. Das Risiko, dass Täter alle diese Parameter haben, ist als gering einzuschätzen. Wie gesagt sehen wir, dass die „richtige“ und schon einige Schritte vor dem Einloggen bei PAYBACK gestohlene Kombination Email-Adresse und Passwort zur Anwendung kommt.

Zugansdaten sichern

Besondere Vorsicht vor Phishing-Mails!


Phishing-Mails sind Nachrichten von Betrügern, die sich darin als eine andere Person oder auch als ein Unternehmen ausgeben. Die Kriminellen versuchen, in diesen Schreiben die Optik und auch die Sprache des vermeintlichen Absenders möglichst genau nachzuahmen.

Es gibt leider immer wieder auch Phishing-Mails, in denen PAYBACK als Absender angegeben wird, obwohl diese Schreiben nicht von uns stammen. In diesen Nachrichten wird häufig versprochen, dass °Punkte verschenkt oder vervielfacht werden. Im Text finden sich meistens Links zu gefälschten Log-in-Seiten, über die sowohl die E-Mail-Adresse als auch das Passwort erschlichen werden soll. Wer seine Daten dort eingibt, hat sie den Betrügern direkt übermittelt.


WICHTIG! In E-Mails von PAYBACK werden Kunden NIE dazu aufgefordert, das Passwort einzugeben. Um sich vor Phishing zu schützen, sollten die Zugangsdaten immer nur in einem neuen Browserfenster und ausschließlich auf PAYBACK.de oder in der PAYBACK App eingegeben werden!

Leider gibt es unterschiedliche Wege, wie Internetbetrüger an Daten kommen. Zusätzlich zum Phishing werden beispielsweise millionenfach Zugangsdaten (E-Mail und Passwort) im Internet zum Kauf angeboten. Wird für verschiedene Internet-Konten das identische Passwort benutzt, dann passt dieses Passwort auch für PAYBACK und Betrüger haben leichtes Spiel.

Keine Chance für Punkteklau

Wie sehen Phishing-Mails aus?


Wir informieren hier darüber, wie diese gefälschten E-Mails aussehen können. Zusätzlich stellen wir auf unseren Social-Media-Kanälen Informationen dazu bereit. Weitere Hinweise zum Thema Sicherheit sind hier zu finden.

Was tut PAYBACK gegen °Punkteklau?

Wir haben gemeinsam mit unseren Partnern äußerst umfangreiche technische Maßnahmen umgesetzt, um die Sicherheit der Kundendaten zu gewährleisten. Diese passen wir zudem regelmäßig den neuen Erfordernissen an.

Wir warnen außerdem seit vielen Jahren vor Internet-Kriminalität und den Tricks, die die Betrüger anwenden. Wir erklären – auch in großen Kampagnen – wie sich Nutzer schützen können. Diese Informationen verbreiten wir über alle uns zur Verfügung stehenden, reichweitenstarken PAYBACK Kanäle: von der PAYBACK.de Homepage über unsere Newsletter und die PAYBACK App bis hin zu Social Media. So wollen wir möglichst viele Nutzer schützen und informieren.

Sichere Zugangsdaten

Wie kann man sich vor „°Punkteklau“ schützen?

Um zu verhindern, dass PAYBACK °Punkte gestohlen werden, kann und sollte jeder Nutzer Maßnahmen ergreifen, die es den Betrügern deutlich schwerer machen, Zugangsinformationen zu stehlen.

  • Jeder Account, also jedes Online-Konto, braucht ein eigenes Passwort
    Jeder Account - vom E-Mail-, über das Bankkonto, vom PayPal-, Amazon-, und eBay-, bis hin zum PAYBACK Konto - sollte unbedingt ein eigenes, sicheres Passwort haben. Denn wer für alle Konten die gleiche E-Mail-Adresse mit dem identischen Passwort nutzt, ermöglicht es Betrügern, mit den gestohlenen Daten sehr einfach auf sämtliche Konten zuzugreifen!
  • Jeder Account braucht ein sicheres Passwort
    Das am häufigsten verwendete Passwort der Deutschen (das verrät eine Studie des Hasso-Plattner-Instituts) ist leider nach wie vor „123456“. Auch „passwort“, „hallo“ und „qwertz“ sind unter den Top 10.
    Wer eines dieser Passwörter verwendet, macht es Kriminellen besonders leicht, unerlaubt auf Konten zuzugreifen. Auch der PAYBACK °Punkte-Diebstahl ist mit diesen Sicherheitscodes besonders einfach.
    Für das PAYBACK Konto sollte wie für alle anderen Accounts auch unbedingt ein sicheres Passwort gewählt werden. Und das ist im Grunde recht einfach. Worauf dabei zu achten ist, haben wir hier zusammengetragen.
  • Ist die eigene E-Mail-Adresse noch sicher?
    Ob Kriminelle bereits die Daten, also die E-Mail-Adresse und/oder das Passwort, gestohlen haben, kann man online schnell überprüfen. Auf der Website des Hasso-Plattner-Instituts kann über die Eingabe der E-Mail-Adresse mit einem Klick abgefragt werden, ob Kriminelle bereits zugegriffen haben. Die Plattform „Have I Been Pwned“ (frei übersetzt: „Bin ich angegriffen worden?“) bietet die gleiche Funktion.

    Stellt sich heraus, dass die E-Mail-Adresse bereits im Visier von Betrügern war, sollten sofort die Passwörter aller Accounts geändert werden, um weiteren Schaden abzuwehren.

PAYBACK ist sicher

Was passiert, nachdem PAYBACK °Punkte geklaut wurden?

Wir raten dazu, Anzeige bei der Polizei zu erstatten, wenn PAYBACK °Punkte gestohlen und ggf. auch schon eingelöst wurden (z. B. bei Rewe). PAYBACK arbeitet eng mit den Behörden zusammen, um Kriminellen möglichst schnell das Handwerk zu legen.

Werden gestohlene PAYBACK °Punkte ersetzt?

Bei uns haben Datenschutz und Datensicherheit oberste Priorität. Wir verschlüsseln Kundendaten bei der elektronischen Übertragung mit dem international anerkannten Sicherheitsstandard TLS (Transport Layer Security) und mindestens 128 Bit, eine mehrstufige Sicherheitsarchitektur sichert den Zugang zusätzlich ab.

Werden PAYBACK °Punkte gestohlen und beispielsweise bei Rewe oder mein real eingelöst, liegt durch die vorhandenen, besonders hohen Sicherheitsvorkehrungen kein Verschulden von PAYBACK vor. Auch die PAYBACK Mitarbeiter oder die unserer Partnerunternehmen trifft keine Schuld.

PAYBACK kann gestohlene °Punkte deshalb leider nicht erstatten. Wir bitten um Verständnis dafür, dass auch bei einer Reklamation oder Beschwerde keine rechtliche Verpflichtung dazu besteht.

PAYBACK °Punkte geklaut: Die wichtigsten Fragen und Antworten

Nein, PAYBACK hat keine Sicherheitslücke. PAYBACK und die PAYBACK Plattform sind sicher.

Der Grund heißt Internetkriminalität. Internetbetrüger versenden z. B. gefälschte E-Mails im „PAYBACK Stil“. Über diese sogenannten Phishing-Mails erschleichen sie sich die Zugangsdaten von Kunden, u. a. auch zum PAYBACK Konto und stehlen dann die °Punkte.

Phishing-Mails sehen so aus, als ob sie von echten Unternehmen stammen. Tatsächlich trügt das Bild jedoch: Der Absender ist ein Betrüger. Nutzer sollten keine Links in diesen Schreiben anklicken und nie ihre Anmeldedaten auf den sich dann öffnenden Websites eingeben. PAYBACK fragt niemals per Mail oder mit anderen Schreiben nach den Nutzerdaten. Eine Anmeldung sollte immer nur direkt auf PAYBACK.de oder in der App erfolgen.

Ein Verhindern von Mails mit gefälschtem Absender ist leider meist nicht möglich. Die Urheber dieser Phishing-Mails suchen ständig neue Wege, um die betrügerischen Nachrichten zu schreiben und zu versenden. So kann oft erst dann darauf reagiert werden, wenn die ersten Schreiben bereits verschickt wurden.

Unbedingt sollte sofort der PAYBACK Account geprüft werden, ob bereits verdächtige Aktionen geschehen sind. Direkt im Anschluss müssen die Zugangsdaten geändert werden. Haben Kriminelle E-Mail und Passwort gestohlen, kann ein °Punkteklau oder anderer Missbrauch des Kontos nur verhindert werden, wenn das Kennwort unverzüglich geändert wird.

Damit PAYBACK auf die gefälschten Nachrichten reagieren kann, bitten wir darum, uns zu schreiben und entsprechende Mails an phishing@PAYBACK.de weiterzuleiten. So können wir diesen Fällen nachgehen und andere Kunden warnen.

Leider gibt es unterschiedliche Wege, wie Internetbetrüger an Daten kommen können. Zusätzlich zum Phishing werden beispielsweise millionenfach Zugangsdaten (E-Mail und Passwort) im Internet zum Kauf angeboten. Wird für verschiedene Accounts (E-Mail, Bank, Amazon, eBay, PayPal, …) das immer gleiche Passwort benutzt, passt dieses ggf. auch für PAYBACK, sodass Betrüger es besonders einfach haben.

Ob die E-Mail-Adresse (im schlimmsten Fall mitsamt Passwort) bereits in die Hände von Betrügern geraten ist, kann auf diesen beiden Websites kostenlos und sicher überprüft werden:

Stellt sich heraus, dass die E-Mail-Adresse bereits in den Händen von Kriminellen war, sollte das Passwort sofort erneuert werden.

Ob Kriminelle das Passwort bereits entwendet haben, lässt sich per Eingabe ebenso kostenlos und sicher auf dieser Website überprüfen:

Ob das Passwort schon einmal online aufgetaucht ist und dort z. B. zum Kauf angeboten wurde oder nicht, wird dem Nutzer direkt nach der Eingabe auf der Website mitgeteilt. Ist das Passwort Internetbetrügern bekannt, sollte es sofort geändert und nicht wieder verwendet werden.

Der wichtigste Schritt ist, sofort das Passwort zu ändern! Es sollte mindestens zwölf Zeichen, Groß- und Klein buchstaben sowie Zahlen und Sonderzeichen beinhalten. Tipps, wie man ein sicheres Passwort erstellt, haben wir hier gesammelt.

Wichtig: Für jeden Account (E-Mail, Amazon, eBay, PayPal, PAYBACK, …) muss unbedingt ein eigenes Passwort gewählt werden, das den Vorgaben für ein sicheres Kennwort entspricht (s. o.).

Im PAYBACK Service Center bieten wir eine Sicherheitsberatung an, wie man sein Konto besser schützen kann. Am Telefon können unsere Agenten weitere Informationen dazu geben.

Leider kann PAYBACK die gestohlenen °Punkte nach einer Reklamation oder Beschwerde nicht erstatten. Hierfür besteht keine rechtliche Verpflichtung.

Wir haben gemeinsam mit den PAYBACK Partnern bereits umfangreiche technische Maßnahmen umgesetzt. Gelangen sensible Inhalte wie E-Mail-Adressen oder Passwörter in kriminelle Hände, geschieht dies nicht durch Sicherheitslücken bei PAYBACK.

Wir sensibilisieren zudem seit mehreren Jahren im Hinblick auf das Thema Internetkriminalität. Wir warnen und informieren über alle Kanäle, auch immer wieder über Social Media, um möglichst viele Menschen zu erreichen.

Es hat sich gezeigt, dass Kunden diese Methode bevorzugen. Dies gilt insbesondere dann, wenn es wie in den Filialen schnell gehen muss. PAYBACK hat vor einiger Zeit aber auf die „Secure Login Methode“ mit E-Mail-Adresse und Passwort umgestellt und forciert diese Umstellung auch bei den Kunden. Ein Großteil nutzt nun bereits das sicherere Verfahren.

Ja, es gibt Phasen, in denen der Diebstahl von °Punkten häufiger vorkommt: Auffallend sind Ferien- und Urlaubszeiten wie Weihnachten, Ostern, etc. … Aber auch während der durch Corona bedingten Zeit der Ladenschließungen und Kontaktbeschränkungen kursierten vermehrt Phishing-Mails. Mehr Informationen dazu gibt es hier.

In bestimmten Zeiten werden also besonders viele Betrugsversuche unternommen. Dennoch ist es wichtig, auch außerhalb dieser Hochphasen wachsam zu sein und darauf zu achten, welche Mails man öffnet, welche Links man anklickt und wo man seine Daten eingibt. Nur so sind die Konten und damit auch die °Punkte sicher.