Betrug mit Lidl Pay: Polizei ermittelt mehrere Tatverdächtige
Schon 2021 hatte ich darüber berichtet, dass es Missbrauch bei Lidl Pay gegeben hat. Lidl Pay ist in die App Lidl Plus integriert und soll eigentlich das Bezahlen und Einlösen von Rabattcoupons vereinfachen. Kriminelle haben das System aber missbraucht, um mit den Kontodaten Dritter einzukaufen. Jetzt verkündet die Polizei München, man habe sechs Tatverdächtige ermittelt.
Es handele sich um sechs Männer im Alter von 22 bis 25 Jahren. Ihnen werden ca. 500 Betrugsfälle zugeordnet. Der entstandene Schaden beläuft sich nach derzeitigen Schätzungen auf einen sechsstelligen Betrag. Die Wohnungen der Verdächtigen sind bereits durchsucht worden, Dabei wurden unter anderem zahlreiche Mobiltelefone und Laptops sichergestellt. Die Tatverdächtigen erwarten jetzt diverse Anzeigen entsprechend der Tatbegehung: Ausspähen von Daten, Computerbetrug, Datenveränderung oder Fälschung beweiserheblicher Daten. Alle wurden nach den Maßnahmen der Polizei wieder entlassen.
Aufgeflogen war das Ganze wohl, da Lidl-Mitarbeitern aufgefallen war, dass die Tatverdächtigen regelmäßig Gutscheine beim Discounter erworben hatten, aber immer wieder andere Bankverbindungen nutzten. Der Spiegel ergänzt dazu, die mutmaßlichen Täter hätten wohl einerseits über Lidls Onlineshop mit falschen oder fremden Informationen Waren bestellt. Aber auch in Filialen hätten sie eben Wunschgutscheine gekauft und dann mit der App Lidl Plus und den gestohlenen Bezahlinformationen von Dritten bezahlt.
Die geprellten Menschen wurden in der Regel erst zeitverzögert auf die Masche aufmerksam, wenn sich Inkassoforderungen bei ihnen ansammelten.
# | Vorschau | Produkt | Preis | |
---|---|---|---|---|
1 | Digitaler Amazon.de Gutschein Prime Lieferung | 50,00 EUR | Bei Amazon ansehen | |
2 | Amazon.de Gutschein zum Drucken (Happy Birthday Cupcakes) | 50,00 EUR | Bei Amazon ansehen | |
3 | Amazon.de Geschenkkarte in Geschenktasche (Weihnachtsmann) | Bei Amazon ansehen |
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Könnte man jetzt sagen ‚darum nutze ich das auch nicht‘, aber leider ist es ja nicht so einfach. Die benutzen ja Daten Dritter, könnte also jeden treffen.
Das du das nicht nutzt, nützt dir nichts.
Lidl sichert den Verifizierungvorgang der Kontonummer, die man zum zahlen in der App hinterlegt, nicht sicher genug ab. Du kannst hier eine beliebige IBAN angeben. Die Zahlung erfolgt dann per Lastschrift.
Die Betrügern brauchen also nur (d)eine Kontonummer.
Im besten Fall (für die Betrüger) fällt das nicht auf, weil der Kontoinhaber seine Kontoauszüge nicht prüft.
„Die benutzen ja Daten Dritter, könnte also jeden treffen.“ = „Dass du das nicht nutzt, nützt dir nichts.“
Oder man hält einfach sein Konto im Blick, bevor ein Inkassoschreiben kommt?
Und dann? Den Ärger hast du trotzdem und die Rennerei. Ändert auch nichts, dass du in einen Betrug verwickelt wurdest und vermutlich von da ab entweder deiner Bank nicht mehr vertraust (de aber dafür nichts kann) oder du panisch alle zwei Tage dein Konto checkst.
Also bis ein Inkassoschreiben eintrudelt, sind idR deutlich mehr als 2-3 Tage ins Land verstrichen.
Man ruft die Bank an, erklärt, dass eine unauthorisierte Abbuchung stattgefunden hat uns fordert ner Rücküberweisung an.
Gerade noch damit bezahlt :-/
Offenbar nutzt Lidl seit einiger Zeit die PSD2-Schnittstelle, um Bankkonten zu verifizieren. Siehe auch https://kundenservice.lidl.de/SelfServiceDE/s/article/Wie-kann-ich-mich-f%C3%BCr-Lidl-Pay-registrieren. Das führt dazu, dass man formal dem Zahlungsdienstleister (Tink AB) Zugriff auf alle Kontenbewegungen geben muss. Den Missbrauch beliebiger IBANs hat Lidl damit unterbunden, aber für den Kunden ist das ganze unnötig kompliziert und sollte so einfach gar nicht notwendig sein. Hat man beim Design von PSD2 wirklich nicht an diesen Anwendungsfall gedacht?
also ich hab mich einfach mit giropay angemeldet wie bei Ner Überweisung.
Zitat von deinem Link: „Weder Tink noch Lidl werden deine Login-Daten, Kontobewegungen und Kontostände erhalten oder speichern. Es wird lediglich die Bankverbindung legitimiert und übermittelt. Alternativ kannst du zur Verifikation deiner IBAN auch unsere 1-Cent-Lösung verwenden.“
Wie kommst du darauf, dass Tink oder andere Zahlungsdienstleister „formal“ Zugriff auf Kontobewegungen haben? Es findet hier kein Login ins Onlinebanking statt, so wie du ihn im Browser kennst, sonders es wird auf eine API zugegriffen, die das zurückliefert was in dem API-Call definiert ist. Gerade das ist ja der Vorteil von PSD2, dass eben nicht mehr per Screen Scraping zugegriffen wird.
Da frage ich mich schon ob die Verifizierung bei Lidl Pay funktioniert.
Warum wurde da nicht schon längst die Reißleine gezogen und nachgebessert?
Wie gesagt lies mal den Betrag über deinem. So einfach ist der Betrug nicht mehr möglich.
Richtig. Das Gewürge mit der schwedischen Fintech-Bude gibt es seit Anfang 2022, die Alternative mit der 1-Cent-Überweisung seit ein paar Wochen.