Dagmar Grauvogl wydała dużo pieniędzy, aby zdobyć 8500 punktów Payback. Ostatecznie premię zebrał oszust. Kradzież punktowa ma system. Payback widzi poczucie winy u użytkownika.

Jessica Wagner pochodzi z Monachium, Dagmar Grauvogl pisze z Waldbronn, a Janine Wacker mieszka w Mönchengladbach: trzy kobiety, które nie znają się osobiście, pracują w różnych branżach – i prawdopodobnie nigdy by się nie spotkały. Ale jedno ich połączyło: wszyscy padli ofiarą serii oszustw. Przestępcy ukradli im punkty Payback.

Dagmar Grauvogl mówi, że brakuje jej 8500 punktów – co odpowiada 85 euro: „Złodziej stworzył dwa bony z moimi punktami, jeden na 35, a drugi na 50 euro”, mówi w rozmowie telefonicznej z t-online.de. "Z punktów chciałem kupić mojej córce pudełko bluetooth. To 8999 punktów."

Uważaj na te fałszywe wiadomości e-mail

Serwis t-online.de nie mógł sprawdzić wszystkich informacji dostarczonych przez osoby, których to dotyczy. Ale Grauvogl i pozostałe dwie kobiety nie są sami. Na portalu rankingowym „Trustpilot” do kwietnia 2020 r. można znaleźć setki komentarzy, które informują o kradzieży punktów. Użytkownicy piszą również o „kradzieży punktów” w recenzjach Google Payback. Istnieje również grupa na Facebooku o nazwie „Payback Damaged”: Pierwsze doniesienia pochodzą z marca 2020 r. Grupa liczy obecnie ponad 950 członków. Liczba ta rośnie każdego dnia.

Tysiące punktów zwrotu zniknęło

Użytkownicy mogą wymieniać swoje punkty Payback na bony zakupowe w odpowiednich terminalach w supermarketach. Alternatywnie możesz również zapłacić za pomocą aplikacji Payback lub kupić bonusy w zamian za punkty. Jednak aby zdobyć 8500 punktów Grauvogl, użytkownicy zwykle muszą zbierać przez długi czas. Ponieważ za wartość zakupu wynoszącą dwa euro zwykle otrzymują jeden punkt. Użytkownicy tacy jak Grauvogl wykorzystują więc kupony, aby szybciej zapełnić swoje konta: „Niedawno kupiłam towary o wartości 65 euro i wykorzystałam 100-krotny kupon, który otrzymałem od Payback na moje urodziny”, mówi.

Z takich kampanii korzysta również Janine Wacker z Mönchengladbach. Niemniej jednak zdobycie 9500 punktów zajęło jej niecałe dziewięć miesięcy, które następnie zostały jej skradzione. „Zostały wykupione w Rewe” – mówi. „Ale nie było mnie tam nawet w Rewe. I bezczelnie otrzymałem 47 punktów za zakupy”. Wacker chciała za te punkty kupić legowisko dla swoich dwóch buldogów. „To faktycznie kosztuje 125 euro, ale dodałbym 30 euro”.

Janine Wacker skradziono 9500 punktów.

Złodziej wykorzystuje punkty zwrotu do środka odstraszającego komary

W grupie na Facebooku niektórzy użytkownicy podejrzewają, że kradzież dotyczy tylko klientów z dużą liczbą punktów. Złodzieje wydają się również w większości tworzyć bony na zakupy. Same zakupy są różne: niektórzy użytkownicy zgłaszają, że nieznajomi kupili artykuły spożywcze. Inni mówią o voucherach takich jak Paysafe czy Amazon.

Jessica Wagner z Monachium mówi t-online.de, że nieznajoma kupiła za swoje punkty spray na komary w DM w Düsseldorfie: „Dostałam za to 42 punkty”. Małe pocieszenie: sam Wagner ukradziono ponad 20 000 punktów – około 200 euro. „Zaoszczędziłam na to około półtora roku” – mówi. Jak wielu innych zgłosiła się na policję. Odpowiednie doniesienia prasowe z komisariatów policji w Niemczech można już znaleźć w Internecie.

Wagnerowi przyznano punkty za zakupy złodzieja.

Jednak jedna rzecz wydaje się zgadzać z wieloma poszkodowanymi: kradzież punktów ma miejsce w całych Niemczech – i często w sklepie oddalonym od miejsca zamieszkania ofiary. Widać to po komentarzach w grupie na Facebooku. Jeden z użytkowników napisał: „Ukradziono nam 32150 punktów z (Rewe, przyp. red.) w Fürth. Mieszkam niedaleko Hanoweru”. Dagmar Grauvogl z Waldbronn mówi, że jej kupon został zrealizowany w sklepie Rewe w Kappeln: „To osiem godzin jazdy samochodem”. U Jessiki Wagner z Monachium złodziejka kupiła za swoje punkty w DM w Düsseldorfie – ponad sześć godzin jazdy samochodem. Można udowodnić, że była w tym czasie w Monachium.

Zwrot: „Brak luki w zabezpieczeniach”

To nie pierwszy raz, kiedy oszuści zdobywają w ten sposób punkty od użytkowników Payback. W 2016 r. media, takie jak monachijska „Abendzeitung”, donosiły o podobnych przypadkach. W tamtym czasie Payback powiedział, że dotknięci byli ofiarami ataków phishingowych.

W obecnych przypadkach firma argumentuje podobnie: „Sprawdzamy platformę przez całą dobę, Payback nie ma luki w zabezpieczeniach” – napisała rzeczniczka na pytanie t-online.de. „Problem jest kilka kroków dalej i nazywa się cyberprzestępczością”.

Rzeczniczka wymienia różne sposoby, w jakie przestępcy mogli zdobyć dane użytkownika – a tym samym konto punktowe. Oznacza to, że użytkownicy mogli używać niezabezpieczonych haseł lub używać tego samego adresu e-mail i hasła na różnych kontach. Na komputerze mogło również znajdować się złośliwe oprogramowanie lub dane użytkownika z poprzednich włamań zostały sprzedane w sieci Darknet. „Ale najczęstszym typem jest phishing, czyli fałszywe e-maile” – napisała rzeczniczka.

W rzeczywistości przestępcy często lubią wysyłać wiadomości phishingowe, aby uzyskać dostęp do danych użytkownika. Przeczytaj więcej na ten temat tutaj. Payback ostrzega również przed fałszywymi wiadomościami e-mail na swojej stronie internetowej w imieniu firmy. Handel danymi w Darknet również nie jest rzadkością. Dopiero na początku lipca okazało się, że sprzedano miliardy danych dostępowych, głównie w Darknet. Przestępcy uzyskują takie dane np. z wycieków baz danych. Na niektórych stronach użytkownicy mogą sprawdzić, czy ich e-maile nie padły ofiarą takiego wycieku. Przeczytaj więcej na ten temat tutaj.

Payback wskazuje również takie strony w wiadomości e-mail. Firma twierdzi również, że niektórzy użytkownicy mają dostęp do swoich kont e-mail przez nieznajomych.

"Korzystamy z menedżera haseł"

Takie zarzuty oburzyły poszkodowanych użytkowników. Na przykład jedna osoba, której to dotyczy, napisała na t-online.de na temat wiadomości phishingowych: „Obwinia się tutaj użytkowników, chociaż w moim przypadku nie kliknąłem żadnych wiadomości phishingowych”. Również w grupie na Facebooku wielu użytkowników gwarantuje, że nie wpadli na oszukańcze wiadomości.

Przynajmniej niektórzy użytkownicy, zapytani przez t-online.de, twierdzą, że ich adres e-mail był w przeszłości ofiarą wycieku bazy danych. Był to wynik sprawdzenia ze stroną „haveibeenpwned.com”. Jednak niektórzy użytkownicy z grupy na Facebooku również piszą, że regularnie zmieniają swoje hasła. Jessica Wagner z Monachium mówi na ten temat: „Korzystamy z menedżera haseł firmy Apple. Hasło składa się zatem z wielu znaków, znaków specjalnych i cyfr”.

Niektórzy użytkownicy podejrzewają, że sam Payback został zhakowany – czemu firma zaprzecza. Inni użytkownicy krytykują fakt, że logowanie do konta Payback lub na terminalu po vouchery działa również według daty urodzenia lub kodu pocztowego. To zbyt niebezpieczne. Na prośbę specjalistycznego portalu „heise online” Payback twierdzi, że „PIN, kod pocztowy i data urodzenia nie odegrały większej roli w kradzieży punktów”.

Użytkownicy skarżą się również, że Payback nie oferuje uwierzytelniania dwuskładnikowego. W takim systemie użytkownicy muszą osobno potwierdzić swoją rejestrację. Takie procedury oferują sklepy internetowe, takie jak Amazon czy banki. Tutaj Payback pisze na żądanie t-online.de: „Zdecydowanie rozważamy uwierzytelnianie dwuskładnikowe w przyszłości”.

Zobacz sprawców na filmach z monitoringu

To, co wydaje się irytować niektórych użytkowników grupy na Facebooku, to zachowanie niektórych pracowników serwisu Payback. Janine Wacker z Mönchengladbach mówi: „Kiedy chciałam wiedzieć, od którego Rewe złodziej kupił, pracownicy początkowo wstali”. Po otrzymaniu informacji skontaktowała się z odpowiednim Rewe. „Ale to było za późno, a nagrania z kamery monitoringu zostały już usunięte”.

Jednak wielu użytkowników w grupie na Facebooku również zgłasza, że ​​otrzymali te informacje bez żadnych problemów. Jessica Wagner z Monachium mówi, że DM w Düsseldorfie zabezpieczyła nagrania z monitoringu dla policji po tym, jak się z nią skontaktowali. W grupie na Facebooku wielu użytkowników chwali również zachowanie pracowników supermarketów w różnych Rewes. Jeden z użytkowników pisze również, że Rewe złapał sprawcę. T-online.de nie mógł sprawdzić takich informacji.

Punkty nie zostaną zwrócone osobom, których to dotyczy

Nie można jeszcze powiedzieć, kto stoi za kradzieżami. W komentarzach użytkownicy mówią o młodych mężczyznach, których widziano na nagraniach z monitoringu. Użytkownik zgłasza t-online.de. „Oddział Rewe był w stanie zabezpieczyć filmy i dać mi znać, że to młody człowiek”. Policja w Halle opublikowała również w marcu zdjęcie z monitoringu mężczyzny, który podobno miał dostęp do siedmiu kont Payback już w listopadzie 2019 roku.

Skradzione punkty nie zostaną zwrócone poszkodowanym. Payback pisze: „Nie ma żadnej winy ze strony PAYBACK, nawet pracowników PAYBACK czy pracowników firm partnerskich”. Oraz: „Nie ma obowiązku, bo sam nasz system jest bezpieczny. Żyjemy w cyfrowym świecie i chodzi o oszustwa w Internecie”.

Wielu użytkowników jest rozczarowanych takimi opiniami. Niektórzy w grupie piszą, że prawdopodobnie nie zdobędą w przyszłości żadnych punktów – m.in. Jessica Wagner z Monachium: „Lubię to robić, ale w przyszłości zapewne skorzystam z innych portali cashback” – mówi. „Właściwie jestem fanem Payback i wiem, dlaczego chcesz moje dane i co z nimi robisz. Ale pod koniec miesiąca, oczywiście, też chcę niektóre z nich”.

Aktualizacja: Dodano, że Payback między innymi zwraca uwagę na wiadomości phishingowe na swojej stronie internetowej.