Zeit an der Kasse sparen, kein Suchen nach Kleingeld und im selben Zug noch Rabatt-Coupons einlösen: So wirbt Lidl für sein digitales Bezahlsystem Lidl Pay, das offiziell vor zwei Monaten auch in Deutschland als Option in die Kundenbindungs-App Lidl Plus integriert worden ist (siehe Supermarktblog). In einem – online bereits millionenfach aufgerufenen – Werbespot heißt es: „Besser als in allen Taschen kramen? Den Einkauf einfach per App bezahlen. (…) Lidl lohnt sich.“
Ähnlich unkompliziert wie die Zahlung per Smartphone an der Kasse funktioniert auch die Einrichtung von Lidl Pay. Das scheinen sich derzeit verstärkt Betrüger:innen zunutze zu machen.
Mehrere Supermarktblog-Leser:innen berichten, dass Kontodaten ohne ihr Wissen und ohne ihre Zustimmung von Unbekannten für Einkäufe mit Lidl Pay in Lidl-Filialen genutzt wurden. Die zuständige „Lidl Digital Trading“ zieht die Beträge von den Konten ein, für die zuvor scheinbar ein SEPA-Lastschriftmandat erteilt wurde – obwohl die tatsächlichen Inhaber:innen Lidl Plus oftmals selbst nicht nutzen.
Eine Leserin, die Opfer eines solchen Betrugs wurde, erklärt:
„Ich war nie Lidl-Online-Kunde. Ich habe nie die Lidl-App runtergeladen.“
Ein anderer Leser sagt:
„Ich gehe gar nicht bei Lidl einkaufen und habe die Lidl-App noch nie genutzt oder auf meinem Handy installiert. Ich habe auch online nichts bei Lidl gekauft (zumindest nicht in den letzten Jahren).“
Ein Dritter erklärt:
„[E]s gab und gibt keinerlei Registrierung bei Lidl oder Lidl Plus.“
Einkauf mit fremden Kontodaten
Dem Anschein nach richten Betrüger:innen sich Accounts bei Lidl Plus ein und aktivieren die Lidl-Pay-Option anschließend mit fremden Kontodaten, um damit einzukaufen. Woher diese Daten stammen, ist unklar – möglicherweise aus früheren Hacks von Datenbanken und Accounts bei anderen Unternehmen.
Konto-Besitzer:innen halten die Buchungen zunächst oft für ein Versehen, weil sie selbst nicht bei Lidl einkaufen waren, und veranlassen Rücklastschriften, um die Beträge von ihrer Bank erstattet zur bekommen. Daraufhin meldet sich ein Inkasso-Unternehmen, das (höchstwahrscheinlich automatisch) die fehlende Zahlung anmahnt.
Die Lidl-Pay-Funktion des genutzten Accounts dürfte zu diesem Zeitpunkt bereits gesperrt sein – aber der Schaden ist entstanden und die Betrüger:innen werden anschließend nur noch schwer zu ermitteln sein.
Derzeit berichten Supermarktblog-Leser:innen regelmäßig von neuen Fällen. Auf Anfrage bestätigt zudem ein Sprecher der Berliner Polizei:
„Das von Ihnen benannte Phänomen ist der Polizei Berlin bekannt und wird seit dem 1. Juni 2021 statistisch im Betrugsdezernat des Landeskriminalamtes erfasst. Aufgrund der Kürze des Erfassungszeitraums liegen jedoch noch keine validen Zahlen vor.“
Das rät die Polizei Betroffenen
Außerdem erklärt der Sprecher, wie man sich verhalten sollte, wenn auf dem eigenen Konto eine unberechtigte Abbuchung erfolgt ist:
„Die Polizei Berlin rät betroffenen Kontoinhabern, eine Rückbuchung der Geldbeträge über ihr Geldinstitut zu veranlassen und Strafanzeige bei der für Sie zuständigen Polizeidienststelle oder online per Internetwache zu erstatten. Die Erstattung einer Strafanzeige allein ersetzt dabei nicht das eigene Tätigwerden gegenüber dem kontoführenden Geldinstitut.“
Dass Kontodaten einfach so zur Erteilung eines SEPA-Lastschriftmandats genutzt werden können, ist ein Problem, das nicht nur Lidl betrifft – ein Missbrauch ist auch anderswo im Netz möglich.
Um vergleichbare Betrugsfälle mit Kreditkarten zu vermeiden, ist für deren Nutzung beim Online-Shopping seit diesem Jahr eine Zwei-Faktor-Authentifizierung vorgeschrieben. Der Bankenverband erklärt: „Mit zwei voneinander unabhängigen Sicherheitsmerkmalen weist der Online-Käufer nach, dass er bei der Kreditkartenzahlung der rechtmäßige Kreditkarteninhaber ist (…).“ Für SEPA-Lastschriften gilt diese Maßnahme nicht.
Lidl verlangt von Lidl-Pay-Nutzer:innen eine „Einwilligung zur Betrugsprävention“. Sie müssen ihre eingegebene E-Mail-Adresse verifizieren und eine vollständige Post-Adresse angeben.
Abbuchungen von 100 Euro und mehr
Zudem informiert Lidl in den Teilnahmebedingungen, das man „[n]ach erfolgreicher Registrierung und entsprechender Bonitäts- und Risikoprüfung“ ein „persönliches Zahlungslimit zugewiesen“ bekomme. Damit soll offensichtlich vermieden werden, dass Kund:innen umfassende Einkäufe mit nicht ausreichend gedeckten Konten tätigen. Wem Lidl vertraut, weil die Abbuchung des öfteren reibungslos funktioniert hat, die bzw. der erhält im Laufe der Zeit ein höheres Limit.
Ohne vorherige Einkaufshistorie dürften Bons „in der Regel ein 50-Euro-Limit beim ersten Bezahlen per Lastschrift nicht überschreiten“, schrieb die „Lebensmittel Zeitung“ Ende März (Abo-Text). Offiziell ist dieses Limit nicht bestätigt. Betroffene Supermarktblog-Leser:innen berichten von durchweg höheren Summen, die von ihren Konten eingezogen wurden.
In einem Fall kam es zu einer Abbuchung von knapp unter 100 Euro; ein andermal wurde an zwei Tagen hintereinander für jeweils rund 200 Euro eingekauft. Aktuell häufen sich die Fälle, in denen Betroffene über Abbuchungen von exakt 100 Euro berichten.
Nahe läge, dass Betrüger:innen für diese runden Beträge bei Lidl Gutscheinkarten mittels Lidl Pay erwerben, mit denen anschließend auch anderswo eingekauft werden kann – und dass dafür das Anfangslimit, das dann bei 100 Euro liegen müsste, ausgeschöpft würde.
Lidl lässt Betrüger:innen viel Zeit
Der Fall, in dem zweimal für höhere Summen eingekauft wurde, lässt hingegen vermuten, dass Betrüger:innen das genutzte Lidl-Plus-Konto zuvor für regulär bezahlte Einkäufe verwendet haben, um dem System Vertrauenswürdigkeit vorzugaukeln, anschließend Lidl Pay einzurichten und dann über fremde Kontodaten einzukaufen. (Was allerdings enorm aufwändig zu wiederholen wäre.)
Fakt ist: Das Sicherheitslimit für Lidl Pay kann von Betrüger:innen bereits regelmäßig wirksam umgangen werden.
Begünstigt ist der Betrug dadurch, dass sich Lidl derzeit bis zu drei Tage für seine „Abbuchungsankündigung“ gegenüber registrierten Kund:innen und danach nochmal „1 bis 3 Bankarbeitstage“ für die Abbuchung Zeit lässt. Anders gesagt: Bis alles auffliegt, haben Betrüger:innen im (un)günstigsten Fall mehrere Tage Zeit, das in der App eingeräumte Limit in der Filiale auszureizen.
Dazu kommt, dass sich der Discounter den Vorwurf einer gewissen Fahrlässigkeit gefallen lassen muss. Denn eine Überprüfung, ob sich ein bei Lidl Pay eingetragenes Konto auch tatsächlich im Besitz des anmeldenden Lidl-Plus-Kunden bzw. der anmeldenden Kundin befindet, scheint nicht oder nicht in allen Fällen zu passieren. Nach meiner Registrierung im März war die Funktion sofort freigeschaltet.
Auf Twitter berichtet ein Nutzer, dass die Zahlung an der Lidl-Kasse offensichtlich auch mit Daten eines bereits aufgelösten Kontos möglich war.
Kontrollabbuchung bei Payback
Dabei ließe sich einfach nachvollziehen, ob tatsächlich eine Berechtigung zur Nutzung für das eingetragene Konto vorliegt – zum Beispiel, indem Lidl eine Kontrollabbuchung eines niedrigen Cent-Betrags vornähme, der anschließend zurückerstattet würde (oder mit dem ersten Einkauf verrechnet werden könnte).
So verfährt zumindest der Loyalty-System-Anbieter Payback, der registrierten Nutzer:innen ebenfalls eine Bezahlmöglichkeit mittels in der App generiertem QR-Code bei Partnern im stationären Handel anbietet. Auf Supermarktblog-Anfrage erklärt eine Payback-Sprecherin, die Option Payback Pay werde sofort freigeschaltet, „[w]enn schon eine langjährige und vertrauensvolle Beziehung zu den Kunden besteht und die Daten inkl. Postadresse validiert (und nicht kürzlich geändert)“ wurden.
„Ansonsten wird immer die 1 Cent-Authentifizierung durchgeführt.“
(Eine Kontrollabbuchung vom hinterlegten Konto.)
Darüber hinaus erklärt Payback:
„Unser Finanzdienstleister Intercard hat bei PAYBACK PAY zudem eine Device ID sowie diverse Prüfverfahren im Risikosystem im Einsatz, um Betrug vorzubeugen (z.B. Thema mehrere Accounts auf einem Smartphone).“
Lidl ist bislang nur im Ausland vorsichtig
Betrugsversuche gebe es bei Payback Pay nur „vereinzelt“. Kund:innen, die der Meinung sind, ihnen sei unberechtigt ein Betrag vom Konto abgebucht worden, können sich an das Payback Pay Service Center wenden:
„Die Kontaktaufnahme erfolgt hier mobil über den PAY-Bereich in der PAYBACK APP.“
Im Laufe dieses Jahres will Payback zudem erstmals ermöglichen, auch eine Kreditkarte für die Nutzung von Payback Pay zu hinterlegen.
Auch Lidl nutzt im Zuge des „Device Fingerprinting“ unterschiedliche Verfahren, die Betrüger:innen auffliegen lassen sollen. (Mehr dazu steht hier.) Auf Kontrollabbuchungen scheint man bei der Einführung von Lidl Pay in Deutschland bislang aber verzichtet zu haben, wie die von den geschilderten Betrugsversuchen betroffenen Blog-Leser:innen bestätigen:
„[E]ine Kontrollabbuchung habe ich nicht gehabt.“
„Solche Kontrollabbuchungen kenne ich und es gab keine im Vorwege. Da ich meine Buchungen schon prüfe, wäre auch eine 0,01€ mir sofort aufgefallen.“
Das ist auch deshalb ärgerlich, weil Lidl die Vorsichtsmaßnahme durchaus zu nutzen weiß – und zwar im europäischen Ausland. Nach meiner Registrierung für Lidl Pay in Spanien veranlasste die Lidl Supermercados SA vor anderthalb Jahren den Einzug von 1 Cent von der hinterlegten Kreditkarte (samt Rückbuchung nach acht Tagen).
Ob Lidl das Verfahren künftig auch für SEPA-Lastschriften – der aktuell einzigen für deutsche Kund:innen angebotenen Zahlungmöglichkeit – anwenden will, ist nicht bekannt. [Nachtrag: siehe dazu Update am Ende des Texts.]
Knappe Kommunikation mit Betroffenen
In jedem Fall scheint es so, als müsse Lidl sein mobiles Bezahlsystem massiv nachbessern, um Lidl Pay weniger betrugsanfällig zu machen, und auch die Kommunikation mit von Betrug Betroffenen deutlich ausbauen. Die Kund:innen-Hotline scheint überfordert. Und die Lidl Digital Trading – erreichbar bislang vornehmlich unter lidlpay@lidl.de – äußert sich (wenn überhaupt) eher knapp, sofern Konto-Inhaber:innen sie über den erfolgten Betrug informieren.
In E-Mails, die mir vorliegen, wird die Strafanzeige gegen Unbekannt bei der örtlichen Polizeidienststelle empfohlen. „Sollten Sie Rückfragen haben, sind wir natürlich gerne für Sie da.“
Ein Leser erklärt:
„Ich habe Lidl entsprechend informiert, worauf ich die Antwort bekam, dass ich eine Anzeige erstellen soll. Keine weiteren Infos zum Vorgang oder wie er geklärt werden soll.“
In einem anderen Fall berichtet eine Leserin:
„Lidl kommuniziert generell gar nicht mit mir und beantwortet mir auch keine Fragen diesbezüglich. (…) Es wäre schön, wenn die Inkassofirma sich melden würde und von Ihrer ungerechtfertigten Forderung Abstand nehmen würde.“
Nachhaltig verärgerte Kundschaft
Es hat den Anschein, als würde Lidl Betroffene derzeit mit dem Ärger, der von ihnen weder verschuldet noch verursacht wurde, ziemlich alleine lassen. Darüber hinaus werden weder Filiale noch exakte Uhrzeit des Einkaufs genannt, die Beteiligten beim Nachweis helfen könnten, dass sie sich zum Zeitpunkt der Zahlung nicht in der betroffenen Lidl-Filiale aufgehalten haben – und der Polizei bei ihren Ermittlungen.
Die Betroffenen erfahren von Lidl auch nicht, mit welcher E-Mail-Adresse der für den Betrug verwendete Account registriert wurde oder ob die genutzte Postadresse mit ihrer eigenen übereinstimmt. Die Blog-Leser:innen sind verärgert:
„Meiner Meinung nach, haben die Lidl-Programmierer (oder die Erfinder von Lidl-Pay) grobe Fehler gemacht, wenn das Betrügen einem so einfach gemacht wird.“
„[D]er Sachverhalt ist für mich eindeutig: Lidl prüft die Daten nicht und handelt somit fahrlässig.“
So scheint der eigentlich zur Kundenbindung gedachte Dienst derzeit eher dazu geeignet zu sein, (potenzielle) Kund:innen zum Einkaufen künftig zur Konkurrenz zu schicken.
Auf eine Supermarktblog-Anfrage zu Beginn dieser Woche hat sich Lidl bis zum Erscheinen dieses Texts am Donnerstagnachmittag nicht zum Thema geäußert.
Nachtrag: Stellungnahme von Lidl
Nach Erscheinen dieses Texts erklärt Lidl, man habe „verschiedene marktübliche Sicherheitsmaßnahmen für die Zahlung mit Lidl Pay eingeführt“.
„Diese haben sich in der Vergangenheit bewährt. Vollständig ausschließen lassen sich Betrugsfälle unabhängig von der Bezahlmethode nie. Uns sind ausschließlich Einzelfälle bekannt, in denen es zu Unregelmäßigkeiten bei der Verwendung von Lidl Pay gekommen sein könnte.“
Sofern Kund:innen eine missbräuchliche Verwendung ihrer persönlichen Daten feststellten,
„nehmen wir das sehr ernst, überprüfen das Anliegen sorgfältig und geben den Kunden schnellstmöglich eine Rückmeldung. In der Regel bitten wir darum, gemäß unserer mit der Polizei abgestimmten Vorgehensweise, eine Anzeige zu stellen. Dazu reicht der Verdacht einer betrügerischen Transaktion. Gemeinsam mit den Ermittlungsbehörden können wir eine umfangreiche Untersuchung gewährleisten.“
Die Bearbeitung durch den Inkasso-Partner „stoppen wir selbstverständlich sofort, sollte sich ein Betrugsverdacht nach einer Anzeige bestätigen“.
Derzeit sei nicht geplant, in Deutschland weitere Zahlungsmethoden in Lidl Pay zu integrieren.
Auf die Frage, warum man auf eine Kontrollabbuchung nach Erteilung der SEPA-Lastschrift verzichte und ob sich das ändern solle, antwortet das Unternehmen nicht.
Der Beitrag Betrug mit Lidl Pay: Warum Lidl sein mobiles Bezahlsystem nachbessern muss erschien zuerst auf Supermarktblog.