Payback-Nutzer aufgepasst: Derzeit läuft eine groß angelegte Welle von Phishing-Mails durchs Internet. Das Ziel der Hacker: Payback-Nummern und Kennwörter ausspähen. Wir zeigen, wie Sie die gefälschten E-Mails erkennen und sich vor Phishing schützen.
Sammeln Sie Payback-Punkte? Vielleicht erhalten auch Sie die Tage eine vermeintliche E-Mail von Payback, in der es heißt:
„Wir haben Geburtstag und Sie haben Grund zum Feiern, PayBack verdoppelt Ihre Punkte!“
Wir verdoppeln Ihre Punkte? Das klingt doch toll! Im Text der E-Mail heißt es dann weiter:
Lieber Punktesammler,
herzlichen Glückwunsch – zu unserem Geburtstag! Denn für Sie für Sie nicht nur 99 Luftballons, sondern vor allem viele Extra-Punkte steigen, damit Ihr Punktekonto ein Hoch erlebt.
Über den folgenden Link können Sie an unserer Punkte-Verdopplungs-Aktion teilnehmen und mit uns feiern, denn heute ist nicht alle Tage.
Klicken Sie hier um Ihren Punktestand zu verdoppeln!
Viel Spaß mit Ihren neuen Punkten!
Ihr PAYBACK Team
Hier ein Screenshot der vermeintlichen E-Mail von Payback
Ok, der Text ist nicht ganz frei von Rechtschreibfehlern und zudem noch etwas merkwürdig formuliert, aber was soll’s? Wenn man mit einem einzigen Klick seinen Punktestand verdoppeln kann, dann kann man über solche Kleinigkeiten doch hinwegsehen, oder?
Sollten Sie auch solch eine E-Mail erhalten haben, klicken Sie auf KEINEN FALL auf den angegebenen Link. Diese E-Mail stammt nämlich nicht von Payback, sondern von Hackern, die versuchen, Ihre Payback-Zugangsdaten auszuspähen.
So funktioniert der Payback-Beutezug
Falls Sie auf den Link klicken, gelangen Sie nicht zur Website zur Payback, sondern zu einer gefälschten Website, auf der Sie aufgefordert werden, Ihre Payback-Nummer und Ihr Kennwort einzugeben. Doch wer das tut, verdoppelt seine Punkte nicht, sondern verliert sie!
Mit den Phishing-E-Mails, die wahllos an E-Mail-Adressen verschickt werden, sollen also Zugangsdaten ausgespäht werden. Dabei haben die Hacker die Chance auf große Beute. In Deutschland nutzen rund 28 Millionen Konsumenten Payback. Viele E-Mail-Empfänger werden also tatsächlich auch Payback-Nutzer sein.
Zudem ist es sehr wahrscheinlich, dass viele Nutzer auf die vermeintliche Punkteverdopplungs-Aktion klicken. Die E-Mail von Payback wirkt nämlich täuschend echt. Das Design ähnelt echten E-Mails von Payback stark. Kein Wunder, schließlich werden Teile von echten Werbe-Mails einfach übernommen.
Zudem feierte Payback tatsächlich seinen 15. Geburtstag – das allerdings schon im Jahr 2015! Und Payback ist sicherlich großzügig – aber eine Verdopplung der Payback-Punkte für alle Nutzer? Das wäre eine extrem teure Werbeaktion!
Wie kann man erkennen, dass die E-Mail gefälscht ist?
Wer sich die E-Mail aufmerksam anschaut, dem fallen mehrere Details auf, die stutzig machen. So schreibt sich Payback offiziell entweder „Payback“ oder „PAYBACK“, aber nie „PayBack“! Zudem lohnt sich ein Blick auf die Absender-Adresse. Die lautet bei den Phishing-E-Mails nämlich:
PAYBACK.de Service [payback@sommeraktion.pw]
„PW“ ist die Länderkennung des Inselstaats Palau im pazifischen Ozean. Viele Mitarbeiter von Payback würden sich zweifellos freuen, wenn sie dort mit einem Cocktail in der Hand am feinen Sandstrand arbeiten könnten, weil dort die Payback GmbH ihren Sitz hat. Stimmt aber leider nicht: Payback ist in München zuhause und verschickt generell keine E-Mails von einer palauischen Absenderadresse.
Was ist das Ziel der Payback-Hacker?
Für die Hacker sind Payback-Zugangsdaten bares Geld wert? Warum? Ganz einfach: Sollten Sie Ihre Payback-Kundennummer und Ihr Passwort zu Ihrem Benutzerkonto erbeuten, haben sie vollen Zugriff auf Ihren Account. Dann können sie beispielsweise wie folgt vorgehen:
- Eine neue Adresse angeben und sich eine Ersatz-Payback-Karte zuschicken lassen, mit der sie sich dann Einkaufsgutscheine in einer Filiale von Real oder Galeria Kaufhof ausdrucken.
- Sich eine schöne Prämie aus dem Payback-Shop an die Adresse eines Strohmanns schicken lassen.
- Die Payback-Punkte in Bargeld einlösen und sich auf ein Girokonto überweisen.
Erbeutete Payback-Zugangsdaten sind für die Hacker also extrem wertvoll. Vor allem dann, wenn sie von fleißigen Punktesammlern stammen.
Wie sollte ich mich verhalten, wenn ich eine solche Payback-E-Mail bekommen habe?
Auch, wenn es Sie vielleicht in den Fingern juckt. Klicken Sie keinesfalls auf den Link in der E-Mail. Damit bestätigen Sie den Hackern nämlich, dass Ihre E-Mail-Adresse echt und aktiv ist. Damit sorgen Sie also selbst dafür, dass Sie künftig verstärkt mit Spam- und Phishing-Mails bombardiert werden!
Die beste Vorgehensweise ist es, die E-Mail sofort zu löschen. Sollten Sie bei zukünftigen E-Mails, die vermeintlich von Ihrer Bank, Payback oder Ihrem Mobilfunkanbieter stammen, unsicher sein, dann kontaktieren Sie diese vorsichtshalber, bevor Sie auf einen Link klicken.
Sollten Sie schon auf einen Link in solch einer E-Mail geklickt haben, gibt es im Übrigen einen einfachen Trick, mit dem Sie die Echtheit der Website testen können. Geben Sie einfach falsche Zugangsdaten ein! Da die Hacker Ihre Daten nicht kennen, können sie sich nicht verifizieren und damit auch nicht erkennen, ob sie falsch sind!
Trotzdem werden Sie in den meisten Fällen eine Fehlermeldung bekommen – die auch auftauchen würde, wenn Sie die richtigen Daten eingeben würden. Die Hacker können schließlich nicht wirklich einen Zugang zu Ihrem Konto herstellen!