Das Bezahlsystem des Discounters wurde von Kriminellen ausgehebelt, um an das Geld der Lidl-Kunden zu gelangen.
Foto: Unsplash
Das Bezahlsystem des Discounters wurde von Kriminellen ausgehebelt, um an das Geld der Lidl-Kunden zu gelangen.
<div class=“manual-ad“></div>
Betrüger benutzen das Zahlsystem „Lidl Pay“ des Supermarktes aus, um sich zu bereichern. Das mobile Abrechnungssystem startete erst vor wenigen Wochen in Deutschland und scheint noch mit diversen Sicherheitslücken zu kämpfen, berichtet der „SupermarktBlog“.
Um dieses Bezahlsystem zu nutzen, müssen Kunden eine App auf ihrem Smartphone einrichten. Lidl lockt mit speziellen Sonderangeboten und kostenlosen Zugaben seine Kunden, die App zu nutzen.
Man erspart sich so das mühselige Suchen nach dem passenden Geld, alternativ bietet der Discounter auch weiterhin das bargeldlose Bezahlen per EC-Karte an.
Lidl bewirbt die mobile Bezahlfunktion mit: „Besser als in allen Taschen kramen? Den Einkauf einfach per App bezahlen. (…) Lidl lohnt sich.“
Das unkomplizierte Einrichten der App machen sich laut dem „SupermarktBlog“ auch Betrüger zu Nutzen.
„Mehrere Supermarktblog-Leser:innen berichten, dass Kontodaten ohne ihr Wissen und ohne ihre Zustimmung von Unbekannten für Einkäufe mit Lidl Pay in Lidl-Filialen genutzt wurden. Die zuständige „Lidl Digital Trading“ zieht die Beträge von den Konten ein, für die zuvor scheinbar ein SEPA-Lastschriftmandat erteilt wurde – obwohl die tatsächlichen Inhaber:innen Lidl Plus oftmals selbst nicht nutzen.“
<div class=“manual-ad“></div>
„Ich war nie Lidl-Online-Kunde. Ich habe nie die Lidl-App runtergeladen.“
„Ich gehe gar nicht bei Lidl einkaufen und habe die Lidl-App noch nie genutzt oder auf meinem Handy installiert. Ich habe auch online nichts bei Lidl gekauft (zumindest nicht in den letzten Jahren).“
Scheinbar richten Betrüger sich Accounts bei Lidl Plus ein und aktivieren die Lidl-Pay-Option anschließend mit fremden Kontodaten, um damit einzukaufen. Woher diese Daten stammen, ist unklar – möglicherweise aus früheren Hacks von Datenbanken und Accounts bei anderen Unternehmen. Kontobesitzer halten die Abbuchungen zunächst für ein Versehen und lassen die Rückbuchen, die Folge ist keine Entschuldigung von Lidl, sondern ein Mahnverfahren, wahrscheinlich automatisiert.
„Die Lidl-Pay-Funktion des genutzten Accounts dürfte zu diesem Zeitpunkt bereits gesperrt sein – aber der Schaden ist entstanden und die Betrüger:innen werden anschließend nur noch schwer zu ermitteln sein,“ berichtert der Blog.
Ein Sprecher der Polizei:
„Das von Ihnen benannte Phänomen ist der Polizei Berlin bekannt und wird seit dem 1. Juni 2021 statistisch im Betrugsdezernat des Landeskriminalamtes erfasst. Aufgrund der Kürze des Erfassungszeitraums liegen jedoch noch keine validen Zahlen vor.“
„Die Polizei Berlin rät betroffenen Kontoinhabern, eine Rückbuchung der Geldbeträge über ihr Geldinstitut zu veranlassen und Strafanzeige bei der für Sie zuständigen Polizeidienststelle oder online per Internetwache zu erstatten. Die Erstattung einer Strafanzeige allein ersetzt dabei nicht das eigene Tätigwerden gegenüber dem kontoführenden Geldinstitut.“
<div class=“manual-ad“></div>
Dass Kontodaten einfach ohne Kontrolle zur Erteilung eines SEPA-Lastschriftmandats genutzt werden können, ist ein Problem, das nicht nur Lidl betrifft – ein Missbrauch ist auch anderswo im Netz möglich. Bei Kreditkartne und Co wurden deshalb die Zwei-Faktor-Authentifizierung eingeführt.
„Lidl verlangt von Lidl-Pay-Nutzer:innen eine „Einwilligung zur Betrugsprävention“. Sie müssen ihre eingegebene E-Mail-Adresse verifizieren und eine vollständige Post-Adresse angeben.“
Fazit: Fakt ist: Das Sicherheitslimit für Lidl Pay kann von Betrüger:innen bereits regelmäßig wirksam umgangen werden. Lidl muss dringend nachbessern und sein mobiles Bezahlsystem absichern.
