Einladung zum Betrug? Lidls problematische Sicherheitsvorkehrungen für Lidl Pay

Einladung zum Betrug? Lidls problematische Sicherheitsvorkehrungen für Lidl Pay

Inhalt:

Lidl scheint es Betrüger:innen noch sehr viel leichter zu machen als gedacht, um mittels Lidl Pay mit fremden Kontodaten zu zahlen. Betroffene berichten von Forderungen zu Konten, die längst aufgelöst wurden. Auch die Polizei in Schleswig-Holstein ermittelt. [Mit Update]

[Bitte Nachtrag am Ende des Texts beachten.]

Während Lidl sein mobiles Bezahlsystem Lidl Pay für sicher hält und erklärt, dem Unternehmen seien „ausschließlich Einzelfälle bekannt, in denen es zu Unregelmäßigkeiten bei der Verwendung von Lidl Pay gekommen sein könnte“, vermitteln Berichte von Supermarktblog-Leser:innen einen anderen Eindruck.

Zur Erinnerung: Innerhalb der Lidl-Plus-App, die der Discounter zur Kund:innenbindung nutzt, lässt sich die Bezahlfunktion Lidl Pay freischalten, mit der daraufhin per QR-Code an der Kasse bezahlt werden kann. Betrüger:innen ist es offensichtlich in mehreren Fällen gelungen, fremde Kontodaten zu hinterlegen und damit einzukaufen. Die Kontoinhaber:innen erfahren davon in der Regel durch eine Abbuchung von ihrem Konto, die per Rücklastschrift zurückgebucht werden kann – woraufhin sich in mehreren Fällen ein von Lidl beauftragtes Inkasso-Unternehmen gemeldet und zum Ausgleich der offenen Forderung aufgefordert hat.

Der Polizei ist diese Masche bekannt.

Außer in Berlin wird inzwischen auch in Schleswig-Holstein ermittelt. So heißt es etwa aus der Polizeidirektion Lübeck auf Anfrage, dass beim Kommissariat 14 – zuständig u.a. für Vermögens- und Fälschungsdelikte – seit Mitte Juni erste Anzeigen vorlägen.

„Zurzeit nehmen die Ermittler Kontakt mit der Firma Lidl auf. Weiter gab es Abstimmungen unter den Kommissariaten auf Landesebene.“

Weitere Details könnten zum jetzigen Zeitpunkt wegen der laufenden Ermittlungen nicht genannt werden.

Zuletzt hatten zahlreiche Medien wie t3n.de, T-Online und die „Wirtschaftswoche“ die vor zwei Wochen hier im Blog geschilderte Problematik aufgegriffen.

Einfache Registrierung mit falschen Daten

Lidl scheint es Betrüger:innen aber noch sehr viel leichter zu machen, als bisher bekannt. Leser:innen berichten, sie hätten Forderungen in Zusammenhang mit Bankkonten erhalten, die nicht oder nicht mehr existierten.

In einem Fall war es einem betroffenen Nutzer zufolge möglich, für die Freischaltung von Lidl Pay ein SEPA-Lastschriftmandat für eine Kontoverbindung zu erteilen, die bereits seit längerem aufgelöst ist. Name und Adresse des Inhabers waren korrekt; dazu wurde eine Telefonnummer mit Vorwahl aus Litauen und eine separat angelegte E-Mail-Adresse eines Hosters verwendet, dessen (temporäre) Mail-Adressen laut Angaben im Netz schon anderweitig für Betrugsversuche genutzt wurden.

Lidl selbst schließt in seinen Teilnahmebedingungen für Lidl Plus und Lidl Play die Nutzung so genannter Wegwerf-E-Mail-Adressen explizit aus: „Es ist auch verboten, eine E-Mail-Adresse, Mobilfunknummer oder sonstige Kontaktdaten anzugeben, die nicht Ihnen gehören, insbesondere sogenannte ‚Wegwerf-E-Mail-Adressen‘.“

Auf Supermarktblog-Anfrage hatte das Unternehmen vor zwei Wochen erklärt, man habe „verschiedene marktübliche Sicherheitsmaßnahmen für die Zahlung mit Lidl Pay eingeführt“. Diese waren aber offensichtlich nicht in der Lage, Verdachtsfälle wie den oben genannten herauszufiltern. Mehr noch: Den Betrüger:innen war es möglich, ein zweites Konto mit derselben Adresse und derselben nicht mehr existenten Kontonummer anzulegen, ohne dass das System Alarm schlug. (Die betreffenden Informationen konnte ich einsehen.)

Auf eine Anfrage, wieso die genannten „marktüblichen Sicherheitsmaßnahmen“ in diesem Fall nicht griffen, hat Lidl bis zum Erscheinen dieses Texts nicht reagiert.

Probleme beim Umtausch?

In den Lidl-Pay-Teilnahmebedingungen ist aber bereits eine Art Bedienungsanleitung für Betrüger:innen eingebaut. Dort heißt es:

„Die E-Mail-Adresse sowie Ihre Mobilfunknummer, die Sie angeben, dürfen noch keinem anderen Account zugeordnet sein.“

Diese Formulierung legt nahe, dass das für Post-Adressen und Kontodaten (bislang) nicht zu gelten scheint.

Inzwischen scheint man bei Lidl für das Problem sensibilisiert zu sein: Ein Kunde berichtet, nach der Meldung eines Betrugsversuchs mit seinem Konto keine Zahlungsaufforderung erhalten zu haben, sondern die Bitte um ein klärendes Telefonat mit der zuständigen Gesellschaft Lidl Digital Trading („Gerne möchten wir den Sachverhalt persönlich mit Ihnen besprechen“).

Lidl wirbt für seine digitale Zahlmöglichkeit und lockt damit auch Betrüger:innen an; Screenshot: YouTube/Lidl

Außerdem scheinen Mitarbeiter:innen in den Filialen über die Betrugsversuche in Kenntnis gesetzt worden zu sein: Ein Kunde schildert Probleme mit dem zeitnahen Umtausch von Nonfood-Artikeln, die zuvor mit Lidl Pay bezahlt wurden und für die eine Erstattung in bar zunächst vom Filialpersonal abgelehnt worden sein soll. So ließe sich vermeiden, dass Betrüger:innen über Lidl Pay mit nachher platzenden Lastschriftmandaten einkaufen und sich ihre Beute in der Filiale auch noch direkt in bar auszahlen lassen.

Dazu, ob es eine entsprechende Sensibilisierung von Filial-Mitarbeiter:innen gibt und wie Kund:innen sich beim Umtausch verhalten sollten, äußert sich Lidl auf Anfrage nicht.

Die erneute Frage, inwiefern Lidl plant, die Sicherheitsmaßnahmen für sein mobiles Bezahlverfahren zu verstärken, um z.B. erteilte Lastschriftmandate zu verifizieren und Unbeteiligte vor Betrug zu schützen, hat das Unternehmen bislang ebenfalls offen gelassen. Aus den gerade aktualisierten Teilnahmebedingungen geht nichts dergleichen hervor. (Aus dem bisherigen „Zahlungslimit“ wurde lediglich ein „Höchstbetrag“, bis zu dem via Lidl Pay eingekauft werden kann.)

„Eine Chance verpasst“

Michèle Scherer, Referentin Digitale Welt bei der Verbraucherzentrale Brandenburg, hält das Vorgehen von Lidl für problematisch:

„Im Sinne des Verbraucherschutzes wäre es begrüßenswert, wenn Unternehmen stärkere Mechanismen einsetzen würden, um Betrug vorzubeugen. Es ist schade, dass Lidl offenbar diese Chance hier verpasst hat, sich im Vorfeld mehr Gedanken dazu zu machen.“

Identitätsdiebstahl sei für Verbraucher:innen besonders ärgerlich, „weil sie mit Inkasso-Forderungen konfrontiert werden, obwohl sie in der Regel keinen Fehler begangen haben“, so Scherer.

„Unser Rat ist, Beträge zurückbuchen zu lassen, Anzeige gegen Unbekannt bei der Polizei zu erstatten und sich dem Inkasso-Unternehmen gegenüber zu erklären. Erhalten Betroffene einen gerichtlichen Mahnbescheid, sollten sie in jedem Fall reagieren.“

Und Lidl-Kund:innen? Die müssen sich überlegen, ob sie ihre Daten einem Unternehmen anvertrauen wollen, das es derart sorglos ermöglicht, weitgehend ungeprüft Accounts mit fremden Identitäten anzulegen – bloß, um als Kund:in nachher mit Lidl Plus ein paar Cent Rabatt auf den nächsten Einkauf zu bekommen und an der Kasse ein bisschen schneller zu bezahlen.


Nachtrag: Stellungnahme von Lidl

Nach Erscheinen dieses Texts hat sich Lidl noch einmal zum Thema geäußert und erklärt, sein digitales Bezahlsystem Lidl Pay weniger anfällig für Betrug machen zu wollen. Das Unternehmen bestätigt, entsprechende Maßnahmen zu ergreifen und bittet Kund:innen für „Unannehmlichkeiten“ um Verzeihung. Das vollständige Lidl-Statement steht in diesem Update.

Mehr zum Thema:

Blog-Unterstützer:innen können sich über Steady einloggen, um Support-Hinweise und Werbung im Text auszublenden:

Archiv