Betrug: "Unberechtigte Fremdeinkäufe" mit Netto-App; PayPal verweigert Erstattung

Ich greife mal kurz ein Thema auf, auf welches mich Tobias per Twitter aufmerksam gemacht hat. Nutzer der Netto-App (von Netto Marken-Discount) stellen wohl fest, dass "Dritte unberechtigt" über die App einkaufen. Das Ganze wird dann dem PayPal-Konto des App-Benutzers belastet. PayPal hat in einem Fall den Käuferschutz und die Erstattung verweigert. Andere Nutzer bekamen von Netto den Schaden ersetzt. Mich interessiert, ob es da mehr Opfer gibt, oder ob es sich um wenige Einzelfälle handelt. Ergänzung: Stellungnahmen von Netto Discount und Paypal nachgetragen.


Anzeige

Clever Einkaufen mit der Netto-App?

Die Überschrift ist das Schlagwort, mit dem der Discounter Netto (Marken-Discount) für seine App wirbt. Wer mit der App einkauft, erhält Coupons und wöchentlich neue exklusive App-Angebote. Und es gibt ein Multipartner-Bonusprogramm, wie man in der Netto Marken-Discount-Mitteilung lesen kann. Mit der Netto-App dieses Anbieters finden Spar-Fans alle Angebote auf einen Blick, heißt es. Zusätzlich können App-Nutzer beim Einkauf in allen Netto-Filialen automatisch Coupons einlösen und damit bares Geld sparen. Mit den wöchentlich wechselnden Artikelcoupons erhalten Kunden exklusiv zusätzliche Rabatte. Aktuell nutzen jeden Monat rund 1,3 Millionen Kundinnen und Kunden den Service der App von Netto Marken-Discount.

Netto-App
Netto-App; Quelle: Netto

Die Couponeinlösung erfolgt in der Netto-App, wo im Bereich „Bezahlen" ein vierstelliger App-Code generiert wird, der an der Kasse gezeigt wird. Mit der Netto-App können Kundinnen und Kunden zudem die neue „Netto-Entdecken"-Funktion nutzen: Jede Woche werden im Netto-Handzettel digital Inhalte wie beispielsweise Artikel-Rabatte, Online-Coupons, Rezepte und Gewinnspiele versteckt, die nur exklusiv von Netto-App Usern gefunden werden können. Unter der Kategorie „Angebote" finden sich in der Netto-App Artikel zum Aktionspreis – mit einem Klick können diese auf die App-eigene Einkaufsliste gesetzt werden.

Punkte-Sammeln: Kundinnen und Kunden können mit der Netto-App die Vorteile des Multipartner-Bonusprogramms DeutschlandCard nutzen. Die DeutschlandCard wird mit der App verknüpft und nach Vorzeigen der DeutschlandCard an der Kasse können alle aktivierten App-Coupons automatisch eingelöst werden. Beim Kauf von nachhaltigeren Netto-Eigenmarkenprodukten mit dem BioBio- oder dem WWF-Panda-Logo schonen Kundinnen und Kunden die Umwelt und erhalten automatisch doppelte DeutschlandCard Punkte. Alle gesammelten Punkte können direkt an der Kasse in den Filialen oder beim Check-Out Vorgang im Netto-Online-Shop mit den Einkäufen verrechnet werden.

Ab 200 DeutschlandCard Punkten haben Kundinnen und Kunden mithilfe der Netto-App die Möglichkeit, diese in einen Wertgutschein umzuwandeln und damit beim nächsten Einkauf zu bezahlen. Zudem können die Punkte im DeutschlandCard Prämienshop gegen attraktive Prämien umgewandelt oder an gemeinnützige Organisationen gespendet werden. So viel die schöne neue Werbewelt von Netto, die auf dieser Seite beschrieben wird.

Das ist erst einmal nicht schädlich, so man sein Einkaufsverhalten durch den Discounter durchleuchten lassen will. Die Kunden können zudem wohl über die Netto-App auch Einkäufe bezahlen, was dann über einen Zahlungsdienstleister wie PayPal abgerechnet wird. Natürlich sollte man auch registriert sein – wie man in dieser Netto-FAQ nachlesen kann, da andernfalls nicht alle Funktionen nutzbar sind.

PayPal-Diskussion über Fremdeinkäufe per Netto-App

Nun scheint es bei einigen (wenigen?) Netto-App-Nutzern aber ein Problem zu geben. Diese stellen fest, dass Dritte unbefugt bei Netto einkaufen und das "Opfer" dann mit dieser Einkaufssumme belastet wird. Im PayPal-Forum gibt es diese Diskussion Betrug mit Netto App Paypal verweigert erstattung vom 8. November 2023 zum Thema.

PayPal lehnt Käuferschutz ab

Der Thread-Starter bekam eine Benachrichtigung von Netto, dass man sich für den Einkauf von 100 Euro bedanken würde. Kleines Problem am Rande: Der Empfänger der Netto-Nachricht hatte laut Nachricht in Saarbrücken eingekauft, was 2,5 Stunden Autofahrt von seinem Wohnort entfernt liegt. Er konnte nachweisen, dass er nicht bei Netto in Saarbrücken war und hat sofort Strafanzeige bei der Polizei gestellt, die Firma Netto informiert und weiterhin einen Käuferschutz-Fall bei PayPal eingereicht. PayPal ist der Zahlungsdienstleister, den die Netto-App für Zahlungen akzeptiert.


Anzeige

PayPal hat aber den Fall für den Käuferschutz wohl schnell abgelehnt und geschlossen. Es habe sich nicht um einen unbefugten Zugriff gehandelt, gibt das Opfer als "Begründung" für die Ablehnung der Erstattung an. Sprich: PayPal geht davon aus, dass das Opfer selbst diesen Kauf getätigt hat. Interessant fand ich dann den PayPal-Vermerk im Forum "7 Menschen hatte(n) dieses Problem" – es könnte also weitere Betroffene geben.

Netto scheint Opfer zu entschädigen

Zum 27. November 2023 meldete sich ein Opfer und berichtete, dass Netto ihm nach einer Meldung den vollen Betrag erstattet und auf das PayPal-Konto zurückgezahlt habe. Ein weiteres Opfer gibt an, seit dem 23. November 2023 auf eine Rückmeldung von Netto zu warten. Auch der Thread-Starter scheint von Netto seine Erstattung der unberechtigten Einkaufssumme bekommen zu haben.

Gehe ich das PayPal-Forum vom Post des Thread-Starters durch, hat das Ganze bereits acht Seiten, es hat also einige Leute betroffen – wobei sich die Daten der Foreneinträge so ab November 2023 abspielen. In allen Fällen stellen die Opfer fest, dass Netto-Einkäufe in fremden Städten (teilweise 500 km entfernt) getätigt wurden, und dem Opfer dann das Ganze über sein PayPal-Konto belastet wurde.

Es kristallisiert sich beim Überfliegen des Threads heraus, dass die meisten Opfer binnen 4-5 Tagen nach Reklamation bei Netto den Betrag vom Discounter erstattet bekamen.

Wie kann das sein?

Die Frage, die bei mir aufkommt: Sind das Einzelfälle und gibt es ein Sicherheitsproblem bei der Netto-App? Denn die Zugriffe werden eigentlich per PIN gesichert. Auch im PayPal-Forum wird die Frage gestellt, ob der Discounter einen "Datenskandal" vertuschen möchte – gemeint ist wohl, dass die Einkäufe nicht gesichert werden und daher Betrug möglich ist.

Ergänzung: Beachtet den im nachfolgenden Kommentar geposteten Link zum Tarnkappe-Beitrag Betrug mit Netto-App tritt in Verbindung mit PayPal gehäuft auf. Es wird ein Fall aufgegriffen, wo ein 13-stelliges Passwort mit Sonderzeichen in der Netto-App hinterlegt ist. Der Betrug war trotzdem möglich (Einkauf in Berlin, Wohnort des Opfers in der Eifel).

Die PIN der App hat nicht geschützt, Mail-Benachrichtigung kam wohl nicht. Im betreffenden Fall soll ein Limit von 500 Euro für Einkäufe gesetzt gewesen sein, aber die Betrüger konnten für höhere Beträge einkaufen.

PayPal hat den Fall ebenfalls geschlossen und abgelehnt. Es heißt auch, dass Netto schweigt. Bei Tarnkappe wird wohl unter Verweis auf die Postings im PayPal-Forum spekuliert, dass die Login-Daten für PayPal unverschlüsselt bei Netto auf den Servern liegen könnten. Alles in allem eine sehr ungute Situation.

Anmerkung: Ich habe mal einen Presseanfrage an Netto und PayPal gestellt und die Unternehmen um eine Stellungnahme gebeten.

Alter Fall von Lidl Pay-Betrug

Ich habe mal etwas gesucht, aber auf die Schnelle keine weiteren aktuellen Treffer gefunden. Es gibt lediglich einen Bericht aus dem Jahr 2021, wo es um Betrug mit Lidl Pay geht und der Discounter sein mobiles Bezahlsystem nachbessern muss. Das Problem damals:  Kurz nach dem Deutschland-Start wurde Lidl Pay systematisch für Betrug genutzt, um mit fremden Kontodaten einzukaufen. Die Polizei bestätigt das Phänomen, das  laut Artikel auch wegen unzureichender Sicherheitsüberprüfungen möglich war. Das hat aber mit dem aktuellen Fall nichts zu tun. Mal schauen, ob sich Betroffene hier mit Erfahrungen melden.

Stellungnahmen von Netto Discount und Paypal

Ergänzung: Ich hatte sowohl bei Netto Discount als auch bei Paypal nachgefragt und um eine Stellungnahme gebeten. Diese ist mir zum 30. November 2023 zugegangen. Ich füge den Text mit der Stellungnahme hier mal ein.

Sehr geehrter Herr Born,

nachstehend erhalten Sie die Stellungnahme von Netto und PayPal zu Ihrer Anfrage.

Einleitend möchten wir klarstellen: Ein Datenleck liegt weder bei der Netto-App noch bei PayPal vor.

Bei Verdacht auf unberechtigte Nutzung von Benutzerdaten  wird empfohlen, präventiv das Passwort des App-Benutzerkontos zu ändern. Tipps für ein sicheres Passwort erhalten Verbraucherinnen und Verbraucher zum Beispiel auf der BSI für Bürger-Website des Bundesamts für Sicherheit in der Informationstechnik.

Generell sollten Verbraucherinnen und Verbraucher, die PayPal als Bezahlmethode nutzen, regelmäßig ihr PayPal-Konto und die darin aufgeführten Umsätze überprüfen. PayPal-Kund:innen erhalten für jede erfolgte Zahlung eine Bestätigung per E-Mail. Wir empfehlen unseren Kund:innen, diese Zahlungsbelege stets zu prüfen, insbesondere im Hinblick auf den/die Empfänger:in der Zahlung und den Betrag.

Grundsätzlich schützt PayPal seine Kund:innen im Fall von unberechtigten Zahlungen. Wird PayPal ein unberechtigter PayPal-Kontozugriff gemeldet und es gibt keinen Nachweis für ein vorsätzliches oder grob fahrlässiges Verhalten seitens des/der Kund:in, erstattet PayPal der betroffenen Person den vollständigen Betrag zurück.

Wenn PayPal-Kund:innen eine Zahlung bemerken, die sie nicht genehmigt haben, sollten sie PayPal so schnell wie möglich darüber informieren. Dies ist über das PayPal-Konto möglich, sowohl per Browser als auch über die PayPal-App.

Melden einer nicht genehmigten Zahlung über den Browser:

  • Einloggen ins PayPal-Konto über den Browser.
  • In der Leiste oben auf „Aktivitäten" klicken.
  • Die Zahlung anklicken, die nicht genehmigt wurde.
  • Auf „Problem melden" klicken.
  • Auf der nächsten Seite stehen verschiedene Optionen zur Auswahl. Hier zum Bereich „Unbefugter Zugriff auf Ihr PayPal-Konto" scrollen und „Ich habe den Verdacht, dass jemand anderes auf mein Konto zugreift" wählen und den weiteren Schritten folgen.

Melden einer nicht genehmigten Zahlung über die PayPal-App:

  • In der PayPal-App ins PayPal-Konto einloggen.
  • Unten rechts auf „Wallet" tippen.
  • Dann oben rechts auf „Aktivitäten" tippen.
  • Auf die Zahlung tippen, die nicht genehmigt wurde.
  • Auf „Problem melden" tippen.
  • Im nächsten Schritt stehen verschiedene Optionen zur Auswahl. Hier zum Bereich „Unbefugter Zugriff auf Ihr PayPal-Konto" scrollen und „Ich habe den Verdacht, dass jemand anderes auf mein Konto zugreift" wählen und den weiteren Schritten folgen.

Sobald die nicht genehmigte Zahlung gemeldet wurde, untersucht PayPal diese und meldet sich innerhalb von zehn Tagen per E-Mail bei dem/der Kund:innen.

Kann man zur Kenntnis nehmen – für mich bleiben aber Fragen offen. Die geschilderten Fälle im Paypal-Forum implizieren, dass eben keine Erstattung durch PayPal geleistet wurde – die Fälle wurden abgewiesen. Und wie schaut es mit dem im Forum berichteten Fall aus, wo keine PayPal-Benachrichtigung erfolgt sein soll? Gut, ich kann nicht verifizieren, was im Forum offen gelegt wurde und was nicht. Und ich kann auch nicht prüfen, ob es in dem einen Fall wirklich ein 500-Euro-Limit für Käufe gab.

Wenn ich die obige Stellungnahme aber mal für bare Münze nehme, würde dies folgendes implizieren:

  • Die Mobilgeräte der Betroffenen sind mit Malware infiziert, die in der Lage ist, die App-ID sowie die PIN des Gerätebenutzers zu übernehmen.
  • Ich müsste zudem postulieren, dass die Netto Markendiscount-App auf einem zweiten Gerät geclont werden kann, ohne dass der Nutzer zustimmt.
  • Weiterhin müsste ich postulieren, dass die Angreifer mit den übernommenen Daten (App-ID, PIN) in der Lage wären, in Deutschland bei Netto Marken-Discount einzukaufen (könnten auch Mulis dafür eingespannt werden).

Die Wahrscheinlichkeit, dass das alles zutrifft, erscheint mir nicht sonderlich hoch. Und mir scheint es auch nicht plausibel, dass Angreifer diesen Aufwand treiben, um Einkäufe in dieser Höhe in diversen Netto-Filialen zu tätigen. Es wird auch nicht plausibler, wenn ich postuliere, dass bei diesen Einkäufen Bargeld an der Ladenkasse abgehoben und mit der Netto-App bestätigt wird.

Was mir so durch den Kopf geht: Im Grunde müsste Netto an Hand der Fälle aufklären können, was dort in den jeweiligen Filialen gekauft wird. Dazu finde ich in obiger Stellungnahme Null Informationen. Vom Bauchgefühl her: Irgend etwas läuft da arg falsch – entweder bewusster Betrug oder ein technischer Fehler, der Kunden "verwürfelt". Muss nun jeder selbst sich beantworten, ob "man weiter auf diese App fliegt".

PS: Die Exodus-Analyse der Netto-App lässt sich hier einsehen.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter App, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

52 Antworten zu Betrug: "Unberechtigte Fremdeinkäufe" mit Netto-App; PayPal verweigert Erstattung

  1. Pau1 sagt:

    "PayPal geht davon aus, dass das Opfer selbst diesen Kauf getätigt hat."

    …und hat das Opfer deshalb wegen versuchten Betrugs angezeigt, anzeigen müssen?

  2. JohnRipper sagt:

    Aus Sicht von PayPal war es vermutlich eine legitime Transaktion, da die NettoApp via Lastschrift „autorisiert" ist, entsprechende Einziehungen vorzunehmen.
    Eben blöd, wenn jemand die NettoApp knackt.

    Aus diesem Grund sollte man die Apps, die für den Lastschrifteinzug bevollmächtigt sind, regelmäßig kontrollieren und wenn möglich die Bevollmächtigung widerrufen. Das Ganze hat bei „Abos" dann entsprechend seine Grenzen, also bspw. Spotify usw.
    War mir auch nicht klar, bis ich auf Grund eines Fall im Bekanntenkreis (jedoch anders gelagert) mich mit dem Thema mal beschäftigt habe.

    Deswegen realisieren: PayPal = Bargeld

    • JohnRipper sagt:

      Korrektur: es müsste „Einzugsverfahren" heißen. Danke an die Folgeposter..

      • pau1 sagt:

        Soweit ich sehe bietet Netto kein Einzugsverfahren an.
        Das sind allesamt "Lastschrift"-Verfahren.
        Bei denen ist kein Storno durch den Zahlungspflichtigen möglich.
        Er hängt also bei Fehlern von der Gnade des Abbuchenden ab.
        Insofern ist PayPal da sauber raus. Sonst könnte das Opfer ja 2 mal Geld zurück bekommen und PayPal müsste das Geld aus der eigenen Tasche bezahlen. Und wir sind hier keine Millionäre die das mittels Cum-Ex-Scholz ja machen konnten und angeblich glaubten, dass das legal sei.

        Netto ist dran zu erklären was da los ist.
        Ansonsten können sie das Bezahlen mit ihrer App komplett vergessen.

        • JohnRipper sagt:

          Leider kann ich das nicht nachsehen, da ich nur ein Access Denied bekomme, wenn ich auf http://www.netto-online.de gehe.

          Anyway, das Problem liegt hier mE bei dem PayPal „Einzugsverfahren", also dem automatischen Zugriff auf das PayPal Konto.

          Mit Lastschrift hat das erstmal nichts zu tun.

          (Außer Netto bietet zusätzlich noch ein Sepa Lastschriftverfahren von einem Bankkonto an. Das wäre technisch/juristisch aber anders zu behandeln.)

  3. Luzifer sagt:

    Naja ist ja auch eher nen Netto Problem den nen Paypal Problem… schließlich wurde da ne Lastschrift ganz legitim authorisiert… da dazu eigentlich das Handy plus PIN notwendig ist hat sich Paypal nix vorzuwerfen.

    Netto scheint sich seiner Pflicht bare ja bewusst und erstattet den Schaden.

    (Tja ich weis schon warum mir keine unnötigen Drecksapps aufs Handy kommen! Für ein paar Punkte sich nackig machen? Nein Danke! Coupons gehen noch immer ganz altmodisch per Papier, dazu brauch ich keine App)

  4. GüntherW sagt:

    Wieso versucht man den Käuferschutz in Anspruch zu nehmen? Deckt der PayPal Käuferschutz überhaupt derartige Fälle ab?

    • Jan sagt:

      Nein, der deckt Zahlungen im sogenannten "Einzugsverfahren" nicht ab, leider ist der Unterschied zwischen den Verfahren nicht immer leicht zu erkennen wenn man Paypal als Zahlungsmittel irgendwo hinterlegt. Bei zB. Lieferando ist mir das erst nach einiger Zeit aufgefallen das das auch über dieses Verfahren läuft/lief (seitdem bezahle ich dort direkt mit Kreditkarte).

      • GüntherW sagt:

        Ich wüsste jetzt nicht, dass der Käuferschutz da eine Festlegung trifft. Ich hab aber mal wieder Probleme das ordentliche Vertragswerk von PayPal zum Käuferschutz zu finden..

        Der Hauptgegenstand vom Käuferschutz (Probleme mit Waren/Lieferung) trifft ja eh nicht zu, da vom Opfer nie etwas bestellt wurde. Ob Einzugsverfahren oder nicht sollte hier keine Rolle spielen. Ich weiß jetzt nicht, ob der Käuferschutz nebenbei noch den Fall mit unberechtigten Abbuchungen geregelt hat?

        Ein derartiger Fall ist in Punkt 5.3.4. der AGB geregelt. Mir ist aber nicht bekannt, dass dies auch Teil vom Käuferschutz ist oder dort noch mal separat geregelt ist. Hier spielt es dann eine Rolle, ob Einzugsverfahren oder nicht, da man den Vertragspartner ja dazu autorisiert hat. Wobei dann auch Voraussetzung sein sollte/ist, dass man Netto wirklich mal autorisiert hat.

        Aus meiner Sicht hat die ganze mit dem Käuferschutz nichts zu tun, wenn die regulären AGB von PayPal.

      • JohnRipper sagt:

        Einzugsverfahren Ist der korrekt Ausdruck. Danke dafür.

  5. Stefan A. sagt:

    Ich kann hier nur mutmaßen, da ich die netto App nicht verwende.

    Aber braucht man da auch ein Kundenkonto unter dem alle Daten gespeichert werden? Würde dann ein Angreifer die Daten des Kundenkontos wissen und sich damit anmelden, könnte er vllt dann Zahlungen auslösen mit den gespeicherten Daten.

    Vllt. weiß hier ja jemand mehr über die Funktionsweise der App.

    • Pau1 sagt:

      Netto könnte, rein technisch, von allen Konten die in diesem System sind, problemlos Geld einziehen. Den Banken ist das komplett egal. Netto behauptet, dass sie das dürfen und die Banken glauben es, ohne sich die Unterlagen zeigen zu lassen.
      Geschehen zu viele solcher Falschlaststriften würde Netto von seiner Bank dafür gesperrt werden.
      Darum passt Netto, schon aus Eigeninteresse auf, das richtige Konto zu belasten.
      Das scheint wohl nicht zuverlässig zu klappen.
      Dass da systematisch betrogen wird können wir hier nicht sagen.
      Aber Netto könnte das.

      Das gesetzte Limits nicht greifen deutet auf Probleme bei der Netto Software hin.

      Wären Netto Daten abhanden gekommen würden wohl auch die Banken den Laden zu machen.
      Auch hätte Netto das ja melden müssen, da persönliche Daten.

      • JohnRipper sagt:

        Es ist ein Problem mit PayPal. Also ist Banken hier der falsche Ausdruck.

        Es gibt nur eine Bank und das wäre PayPal.

        Und wie gesagt, es geht nicht um SEPA Lastschriften.

        • Luzifer sagt:

          Nein es ist kein Problem mit Paypal! Du hast mit Nutzung der App als "Zahlkarte" Paypal authorisiert Zahlungen von Netto zu akzeptieren… Es ist ein Problem der Netto App wenn diese fälschlicherweise missbraucht werden kann.

        • Pau1 sagt:

          laut Tarnkappe benutzt Netto den Dienst "Paymorrow".
          Dieses organisiert das Geld von einem Konto der Kunde, das kann wohl auch PayPal sein.
          Per "GiroEinzug". Geht das nicht, benut Paymorrow eine evtl mit hinterlegte Kredit-Karte.
          Den Begriff "Giro Einzug" hat sich wohl Tarnkappe ausgedacht.
          Es gibt seit Jahren nur noch SEPA-Lastschrift, auch wenn manche Kunden das weiterhin Einzug nennen.
          In 2 Varianten:
          Die Firmenlastschrift, die nicht widerrufbar ist und die Basis-Lastschift, die bis zu 8 Wochen oder 13 Monate ohne Probleme widersprochen werden kann. . Wobei ich mich frage,wer entscheidet, ob eine Lastschrift unberechtigt war damit die 13 Monate greifen. Unsere Gerichte schaffen das wohl eher nicht so schnell.
          In diesem Fall ging lt. Tarnkappe nicht um das PayPal Konto, sondern um den Paymorrow Dienst, der bei PalPal abbuchen wollte oder hat.

          Wikipedia sagt dazu:
          "Seit Oktober 2015 ist Netto Marken-Discount Partner der DeutschlandCard.[14] Die Bezahlung per App ist auch möglich.[15] Der Partner für die Zahlungsabwicklung war bis Mitte 2017 Postpay und wurde auf Paymorrow umgestellt. Im Dezember 2018 wurde PayPal in die Netto-App integriert.[16]"

          Alles irgendwie nicht so ganz klar, wer da mit wem…
          jedenfalls scheint PayPal eher zu den Opfern zu gehören und kann nix tun. Sie werden Netto oder gar paymorrow kaum sperren.

    • Pau1 sagt:

      Solche Sachen werden unter den Banken ausgemacht.
      Also Netto z.B. gibt seiner Bank den Auftrag das Geld zuholen und die der Bank des Endkunden.
      Ein Angreifer vielleicht wohl Lastschriften veranlassen, aber das Geld ginge nur auf das Konto von Netto.
      Oder er müsste eine Bank haben, die das für ihn macht.
      Evtl. könnten Angreifer die Daten zu Einkaufen verwenden.
      Das ist aber höchst unattraktiv da die Ware ja erstmal zwischen- gelagert werden müsste.

  6. Norddeutsch sagt:

    Wie beobachten imho das "Elend" am bereits verreckten Gaul. Um Klarheit zu schaffen wäre Audit der Achitektur bis zum APP-Disassembly hilfreich, stehen irgendwo Entwicklerinfos der APP? Hat schon jemand (eigenen!) Traffic gesnifft?

    Falls Lilith Wittmann mitliest – oder Ihr Kontakt habt: Sollt man das ansprechen?

    Immerhin scheinen (alle?) lokalen Limitierungen von Authorisierung (PIN), Notification (Mail) bis selbst Thresholds (500€ Limit) umgangen. Dies spricht mE eher weniger für lokale Kompromittierung. Ein API und eine Infrastruktur muss es geben, mein Gefühl sagt "hier zuerst suchen".

    • Pau1 sagt:

      Also wenn Netto einen Glitch in der Datenbank hat, könnten sie durchaus bei einem falschen Konto abbuchen. PayPal benachrichtigt dann seinen Kunden. Andere Zahlsysteme evtl. nicht. D.h. der legitimer Käufer erhält eine Benachrichtigung, aber wundert sich nicht, dass nicht abgebucht wurde.

      Es wäre für Netto allerdings besser, transparenter zu informieren.

  7. Pau1 sagt:

    Kann das nicht ein Software Problem sein und kein vorsätzlicher Betrug?
    Ich kenne da den Fall, das die Kundennummerm unique sein sollten. Durch ein Semicolon an der falschen Stelle im Code kam es zu Doubletten und so wurde der falsche Kunde belastet.
    Aber irgendwie scheint nicht zu interessieren, wie es zu den Fehlbuchungen kam. Das Geld ist zurück, und gut ist?

    • JohnRipper sagt:

      Die großen Kreditkartenfirmen beschäftigen mehrere Personen, Vollzeit, damit herauszufinden, wieso es zu Fehlbuchungen oder Buchungsdifferenzen kam.
      Ein Mitarbeiter berichtet mir, dass er zwei Monate an einem Fall gearbeitet hat, bei dem es zu einer Differenz von ein paar Cent kam.

  8. Pau1 sagt:

    Es sei daran erinnert, dass man einen SEPA-Lastschrifteinzug ohne Angabe von Gründen stornieren kann.
    Es gibt dafür eine Frist, aber man muss den Storno nicht begründen und die Bank muss ohne wenn und aber unverzüglich tun was man ihr als Ohr Vertragspartner gesagt hat und nicht dass was ihr eine andere Bank gesagt hat.
    In sofern ist man bei seiner Bank deutlich besser aufgehoben, da die Erstattung nicht von den reinen Willkür eines Mitarbeiters abhängig.
    Natürlich entstehen Kosten durch den Storno, 2 Euro.. Diese zählt immer der Abbucher. Er stellt das dem Zahlungspflichtigen oft in vervielfacht er Höhe in Rechnung. 14 Euro sind schon versucht worden.
    Verwendet man andere Verfahren als Einzug so sind diese nur in Ausnahmefällen und innert Stunden stornierbar.
    Versuche alle Erstüberweisenungen schwebend unwirksam zu halten sind gescheitert.

    • JohnRipper sagt:

      Mal wieder setzen sechs.

      Wie oben ausgeführt, handelt es sich nicht um ein Problem mit SEPA Lastschrift Einzügen, sondern um das Einzugsverfahren in der Definition von PayPal.
      Dh ein Anbieter (hier Netto) lässt sich von dir (dem PayPal Kunden) die Genehmigung geben, Beträge per Einzugsverfahren von deinem PayPal Konto einzuziehen. Wie PayPal sich das Geld holt spielt dabei keine Rolle (via Kreditkarte, PP Guthaben, SEPA Lastschrift).

      Das Problem ist, dass der Anbieter (hier Netto) mutmaßlich einen schlampigen Umgang mit Daten pflegt und dementsprechend Beträge vom PP Konto eingezogen werden können, die weder der Kunden, noch Netto (eigentlich) autorisiert haben. Paypal lehnt einen Käuferschutz ab, da PP einen ordnungsgemäße Autorisierung an ihrem Systemen sieht.
      Natürlich kannst du bei der Bank die Abbuchung von der KK oder dem SEPA Konto zurückgehen lassen, stehst aber zivilrechtlich mE auf verlorenem Posten, da PP einen Anspruch gegen dich hat. Wurde das PP Guthaben verwendet, kannst du zudem gar nichts tun, da eine weitere Bank (außer PP) nicht involviert ist.
      In dem hier vorliegenden Fall müsstest du gehen Netto vorgehen, was -Kulanz ausgenommen- wahrscheinlich ein ziemlich großes Problem werden könnte.

      Deswegen: Finger weg von kruden Apps wie Netto.

      Es gibt mE auch keinen Grund wieso man Netto hier als (weiteren Zahlungsdienstleister) braucht*.

      *) haben die überhaupt eine Lizenz iSd des ZAG?

      Achtung: die Ausführungen basieren auf den derzeit öffentlich Informationen und können ggf. unvollständig oder fehlerhaft sein, da weder Netto noch PP sich dazu öffentlich geäußert haben. Ist also „best guess" hier.

  9. mowny sagt:

    Mich würde ja mal interessieren, ob netto da möglicherweise die Kontenzuordnung verkackt hat.
    Immerhin wird das Kundenkonto ja nur über die ausgewählte Filiale und eine vierstellige PIN zugeordnet. (Was übrigens eine Attacke in derselben Filiale möglich macht, wenn man die Kunden an der Kasse beobachtet und schnell die PIN am Selfserviceterminal eingibt …)
    Wenn netto da einen Race in der Zuordnungslogik produziert hat, oder Bitkipper auftreten, könnte einfach ganz ohne böse Absicht ein fremdes Konto belastet werden.
    Da es keine weitere Verifikation gibt, z.B. nochmalige Bestätigung in der App, würde das nicht auffallen.
    Payback Pay zeigt wenigstens normalerweise eine Bestätigung in der App. Bei netto sieht man erst was, wenn die Transaktion in "Meine digitalen Kassenbons" auftaucht. Außerdem verwendet Payback einen recht umfangreichen QR-Code statt einer bloßen PIN, was sowohl gegen das Ausspähen hilft als auch eine gewisse Redundanz einbringt.

    • Norddeutsch sagt:

      @mowny – gegen den Fehler bei einer 1:A versus 1:B Kardinalität oder Race bei Kontenzuordnung spricht IMHO das oft genannte Limit (>500€).
      Dies lässt sich bei Betrachtung einer Gaußschen Glochenkurve (typische Einkaufswerte im Quicky-Markt (c) Simpsons ) zB per 95%-Quantil als eher untypisch zurückweisen.
      Gegen ein Ausspähen "Fake am Terminal nebenan" sprechen mE geschilderte Beispiele (zB lokale Distanz), gegen Weiterleitung von Credentials 500km weiter wohl nur Aufwand, KnowHow oder "Netzwerk" und API.

      Betrüger sind ergo of so/zu gierig (Insider: Ich mag "Lilly Unbekannt" @ Qualityland von Mark Uwe Kling)

      • Anonymous sagt:

        Kwik-E-Mart bzw. in einer Folge Quick-E-Mart heisst der Laden bei den Simpsons…

      • Pau1 sagt:

        hihi

        aber es war m.W. beim benutztem Netto-Konto ein Limit von 500 Euro "eingetragen". Der Wert wird wohl eher auf dem Server gespeichert sein als in der App.
        Würden netto die PP-Konten "verwürfelt" haben, geht auch die Grenze verloren.
        Auch scheint es nur ein Problem mit PP zu geben, oder?Die anderen Verfahren scheinen nicht betroffen zu sein.
        Obwohl da auch niemand in nachprüfen kann, ob Netto diesen Betrag von diesem Konto abbuchen darf. Das läuft auf Vertrauensbasis.

        Auch möglich, dass netto ein spezialisiertes Subunternehmen beauftragt hat, so einen Art wirecard-Nachfolger.

        Zudem würde ich erwarten, das die App fest mit den Handy verbunden wird und diese Info an netto geht.
        Die Pin erlaubt nur, dass die App diese Daten überträgt resp. der Server die Handy-Bindungsdaten überhaupt entschlüsseln kann.
        Eine Art 2FA.Was ich besitze, was ich weißm

        Für über 500 Euro bei Netto einkaufen gibt schon einen sehr großen Einkaufswagen. Das fällt auf. Ein Betrüger möchte aber nicht, dass man sich an ihn erinnert. Aber ein Fahrrad lässt sich leichter zu Geld machen.

        Ist natürlich nur Spekulation, da Netto wohl keine Informationen rausgeben wird, was da gelaufen ist. Es könnte ja Reputation kosten. AOL hatte auch mal ein Problemchen damit, das Betrüger sich Zugang zum Netz ergaunert haben, in dem sie öffentlich zugängliche Kontonummern zum Abbuchen angaben.
        Damals war es noch nicht möglich, Lastschriften generell oder spezifisch zu sperren. Das bedeutete viel Arbeit für die Buchhaltung.

  10. peterpan sagt:

    Hier meldet sich ein Betroffener, der froh ist, dass die Fälle publik wurden. Habe regelmäßig gegoogelt und es nur zufällig auf Golem gefunden.
    Ich hatte sofort eine Strafanzeige erstattet und soeben auch den Polizisten per Mail über den Golem-Beitrag, in dem auch dieser Blog verlinkt ist, informiert.

    Mein Fall schein auch ein typischer zu sein.

    Ich bin der Meinung, dass es kein Netto-Fehler ist, sondern kriminelle Energie.

    Ich lebe in Berlin, die Netto-App war bei meinem iPhone ausgelagert, zuletzt damit gekauft hatte ich im April in Berlin.

    Eingekauft wurden für über 400 Euro Tabakwaren (und ein Menthos :) ) in schierer Menge kurz vor Ladenschluss in einer Filiale in NRW.

    Ich wurde sowohl von Netto als auch von PayPal über den Einkauf informiert.

    Einige Minuten später loggte ich mich in der Netto-App ein und siehe da, ich erhielt eine Mail, dass ich mich eingeloggt habe. Trotz der vorigen Information per E-Mail, dass ein Einkauf (inklusive des Überblicks über die gekauften Artikel) stattgefunden hatte, gab es jedoch keine Anmeldemail in der App, auch die Tage davor nicht, auch nicht im Spamordner.

    Beim Einkauf im April stand bei dem Gerät beim Einkauf: iPhone, dieses Mal stand dort "unknown".

    PayPal war nicht kompromittiert und mein Netto-Account m.E. auch nicht, darüber hinaus gibt es ja eigentlich eine Zwei-Faktor-Authentifizierung durch den PIN in der Netto-App, den man zum Einloggen eingeben muss.

    PayPal hat übrigens verweigert (trotz ausführlicher Belege), Netto (ohne Belege, nur ein Telefonanruf am Abend des Vorfalls) hat den Betrag binnen weniger Tage erstattet – natürlich ohne Anerkennung einer Rechtspflicht.

    Ich hatte von Anfang an den Verdacht, dass es eine Netto-Sicherheitslücke gibt, ich finde es schade, dass damit nicht transparent umgegangen wird.

    Als Betroffener bangt man, hat viel Papierkram (auch mit der Polizei), PayPal blockt alles ab und die eigentlich Schuldigen geben einem noch das Gefühl, dass sie aus Gnadentum das Geld zurückerstatten.

    • Pau1 sagt:

      hm, ja. Zigaretten-Stangen (mit Zollbanderolen…) lassen sich auch gut zu Geld machen ohne rückverfolgt werden zu können, oder haben die inzwischen auch einen QR code als vorgeblichrb Fälschungsschutz wie Briefmarken?
      Es sieht nicht nach einem typischen Wochenende-Einkauf aus, bei dem die Kundennummer verwechselt wurde.
      Also erlaubt die Netto App Unbefugten den Zugriff… Unschön .
      Jedenfalls kein PayPal problem, wobei PayPal bei fortgesetztem Missbrauch des Vertrauens die Kundenbeziehung beenden könnte. Auch wenn PP nicht zahlt, es kostet PP Arbeit.

      Wie gesagt sollte die Netto App mit der Handy Hardware verknüpft sein. Wie können Dritte das umgehen?
      Man kann die IMEI ändern oder simulieren.
      Haben die Kriminelle Imsi catcher in Netto läden laufen und spähen zusätzlich die Pin aus? Und reicht das wirklich, um den Zugang zu Clonen?

  11. JG sagt:

    "Die Mobilgeräte der Betroffenen sind mit Malware infiziert, die in der Lage ist, die App-ID sowie die PIN des Gerätebenutzers zu übernehmen."

    Das gab es ja in der Vergangenheit schon reichlich (z. B. Gigaset Smartphones). Vielleicht ist es die Netto-App selber (Hintertür) oder eine andere App.

    • Pau1 sagt:

      Danke für die Info. Das ist hat Günter wohl neu dazu gesetzt. Leider sind Änderungen im Blog nicht unbedingt sofort zu erkennen.
      Danke für den Hinweis das Netto eine m.E.n. ziemlich zynische Stellungnahme gegeben haben, in der mit einen Satz jeden Fehler uneingeschränkt(!) bei sich ausschließen, sich aber breit darüber auslassen, was der Kunde besser machen muss um sein PayPal-Konto zu schützen. Es war aber kein Missbrauch des PayPal Kontos, sondern der Netto App.
      Erfolgten die Abbuchungen denn etwa nicht durch Netto, sondern durch 3. die sich als Netto ausgegebenen haben durch direkten Zugriff auf das PP Konto? Ist doch Quatsch. Es wurde ja bei Netto eingekauft, und Netto hat abgebucht, warum hängt das irgendwie mit der Qualität meines PP Passwortes zusammen?

      Wenn der Kunde einen Trojaner auf seinem Handy hat, dann hat es auch keinen Sinn, dass Passwort zu ändern oder extrem kompliziert zu gestalten.

      Wenn der Kunde einen Trojaner auf seinem Handy hat, warum erstattet Netto den Schaden?
      Um die Sache klein zu halten?
      Warum nur bei Netto App?
      Warum nur bei PayPal Zahlungen und nicht bei SEPA?
      p
      Es wäre schon interessant zu wissen, was gekauft worden ist.
      Netto weiß das natürlich, das ist ja der Sinn der App.
      Warum sagen sie das nicht. Datenschutz oder Ermittlungs Strategie?

  12. Pau1 sagt:

    Das in der Datenbank Kundendaten "verwürfelt" wurden kann nun wohl ausgeschlossen werden. Für 400 Euro Zigaretten ist eher ein ungewöhnlicher Einkauf. Das ausgerechnet bei dem das Konto verwürfelt wurde ist extremst unwahrscheinlich.

    Man kann Betroffenen nur bitten sich zu melden um andere Kunden warnen zu können.

    Vielleicht haben sie tatsächlich einen Trojaner auf ihrem Handies, der einem 3. erlaubt, das Handy remote zu benutzen.
    Die Kriminellenn müssten nicht einmal die App auf ein anderes Handy Clone, sondern nur dafür sorgen, dass der Handy benutzer die Fernsteuerung nicht sieht.
    Ist das vielleicht der Grund, warum die meisten Banken-Apps keinen Screenshot erlauben?
    (Der Trojaner würde einen Screenshot der Server Seite machen und einblenden. Darunter könnte er machen was er will ohne dass der User das sieht.)
    Erlaubt die Netto App screenshots?

    • mowny sagt:

      Die App nörgelt zwar wenn man einen Screenshot macht, verhindert diesen aber nicht.

      Vielleicht interessant: In den letzten Monaten ist es mir schon dreimal passiert, daß ich genau an der Kasse beim Versuch zu zahlen plötzlich aus der App ausgeloggt war und erst wieder mein Paßwort eingeben mußte.
      Ansonsten entsperre ich die Zahlungsfunktion per Fingerabdruck. Bis vor ein paar Wochen ging das auf meinem Haupthandy aber nur unmittelbar nach dem Aufwecken aus dem Standby, sonst hat es auf den Fingerabdruck nicht reagiert, sondern die PIN verlangt (die ich aber nie eingegeben habe).
      Auch interessant: Als ich von meinem vorigen Handy auf dieses gewechselt bin, mußte ich das Paypal-Konto neu verknüpfen, was ja aus Sicherheitsgründen nachvollziehbar ist. Aber vor ca. einem halben Jahr habe ich die App auch auf ein anderes Handy installiert, weil das die Google Play Dienste für AR unterstützt, die man für die Prospektscanfunktion braucht. Und diesmal war die Zahlungsfunktion direkt nach dem Einloggen ins netto-Konto möglich.

  13. my 2 cent sagt:

    Ich denke das weder Netto noch die Firma (welches die App verbrochen hat) eine Antwort wissen. Da die Betrugs-Einkäufe quer durch Deutschland getätigt werden. Vermute ich es sind Mittelsmänner die für einen Betrag bei Netto umsonst einkaufen können. Ich denke in die App wurde eine Hintertür eingebaut entweder von einem Entwickler oder die wurden gehackt und die Angreifer haben den Quelcode ensprechen ergänzt.

  14. Pau1 sagt:

    Netto sagt überspezifisch
    "Ein Datenleck liegt weder bei der Netto-App noch bei PayPal vor."

    nö, muß ja auch nicht. Hatte eigentlich auch bisher niemand behauptet, oder?

    Man hat nur gemutmaßt, das Netto die Daten durcheinander gekommen sind. das ist auch kein Datenleck.

    von einem Datenleck bei PayPal war schon gar nicht die Rede.

    Wenn ein Bug in der App vorliegt, mit der man das 2FA austricksen kann, oder im Server, so dass man auf den Account eines Dritten einkaufen kann, dann ist das auch kein Datenleck.

  15. Pau1 sagt:

    Netto könnte ganz einfach checken, ob der Kunde nicht aus der Nähe kommt und mehr als 2..3 Packungen Tabak waren gekauft hat.
    Dann könnte netto den heute leider immer vorhanden seinnmussenden Sicherheitsdienst bemühen, den Kunden anzurufen und den Kunden an der Kasse im Auge zu behalten.
    Klingelt das Telefon im Laden ist alles gut. Klingelt es nicht, aber geht wer ran, könnte man fragen wo er sich derzeit befindet… wahrscheinlich nicht bei Nettonan der Kasse.

    Ich vermute, das es irgendwie unter Umständen möglich sein könnte, das Handy des Kunden fernzusteuern.
    Wenn das wirklich gehen sollte, dann nützt auch keine "root" Sperre oder 2FA mehr etwas, .mit dem ja legitimiert werden soll, das Handy Banking sicher ist…
    Man sollte auch beachten, das die Netto App ursprünglich zum Punktesammeln gedacht war. Es wurde sicher nicht extrem auf Sicherheit geachtet. Dann wären halt ein paar Punkte für ein paar Euro weg. Für Kriminelle kein Ziel, weil sie nicht wissen was sie überhaupt erbeuten können.

    Warum dann nur bei der Netto-App und da nur mit PayPal?
    Bieten andere Einzelhändler das bezahlen mit ihrer App überhaupt nicht an? Ich zahle mit Google pay.
    Da muss ich keine Pin eingeben. Ich halte das Handy an den Leser, pling ding, bezahlt. Push Nachricht von meiner CC, alles gut. Das geht so er NFC. Die netto App braucht aber nur per WLAN. Das Handy könnte in Berlin in der Tasche seines Besitzers sein, und der Dieb kauft in München ein, per Fernverbindung zum Handy….ist ja alles nur IP.
    netto spart sich die teuren NFC POS Lesegeräte.
    Die Kassen sind sowieso schon im Internet.
    Ja, brauchen eigentlich nur noch einen WLAN Router für den ganzen Laden.
    Vielleicht hilft es, die geolocation und den Bewegungs Sensor des. Handies anzufragen. GPS müsste ja München ausweisen und das Handy müsste in Bewegung sein…
    Die app-Pin kann die Fernsteuerung das letzte Mal mitgelesen haben und nun verdeckt eingeben, so sie denn überhaupt verlangt wird.

  16. Pau1 sagt:

    Auf die schnelle finde ich nur Famila die auch ein Bezahlen per App ermöglichen (aber nicht sagen, wie sie ans Geld kommen..)
    Dabei erzeugt das Handy einen QR-Code, der von der Kasse eingescannt wird.
    Es ist also sichergestellt, das das Handy sich tatsächlich Vorort befindet…
    (bei einem ferngesteuertem Handy sähe ich das Problem den QR-Code zur Anzeige zu bringen, aber ist wohl möglich. Vorraussetzung:
    Die App muß das Anfertigen von Screenshots erlauben)

  17. peterpan sagt:

    Ich hatte die Netto-App seit Monaten gar nicht mehr auf dem Handy, Fernsteuerung ist also auszuschließen.
    Dementsprechend glaube ich auch nicht an einen Trojaner.
    Der Handyname stand auch nicht da, statt iPhone stand da unknown.
    Meines Erachtens (Laie) ist das ein reines Netto-Problem. Es gibt keine Indizien für eine Kompromittierung meines Handys.

    • Pau1 sagt:

      achso, ich hatte verstanden dass du die App seit April nicht mehr benutzt hast.
      Nichts desto trotz könnten ja bis zur Deinstallation im April die Daten von Deinem Handy abgezogen worden sein…(rein theoretisch, ich meine nicht Dich.).
      Der Täter braucht so weit ich sehe, nur Zugang zu Deinem netto Account. Und der ist nur mit einem Passwort gesichert.
      In einem Fall mit einem 13 Stelligen. Dessen Eingabe musste aber mit Video ausgespäht worden sein oder die haben Gedächtnis Künstler in ihrer Bande.

      Du hast wahrscheinlich nicht den Account bei Netto gelöscht, weil da noch Punkte drauf sind, oder?
      Daher wissen sie die Zahlverbindung noch.
      Bekommst Du, wenn Du Dich per Browser einloggst irgendwo deine Kontodaten vollständig angezeigt?
      Bei Amazon sieht man immer nur die letzten 4 Stellen.

      Annahme:
      Irgendwie sind die Kriminellen an das Passwort für Deinen netto Account gekommen. (nicht das der App. wobei die gleich sein können.)
      Sie haben Handynummer und Email Adresse geändert.
      Netto hat keine Nachricht an die alten Adressen über diese Änderungen geschickt. Warum auch, gehen ja nicht mehr (hat die Post früher bei Nachsendeanträgen auch gemacht…).
      Dann haben sie ganz normal die App installiert und selbst bestätigt.
      Dann wieder die alten Werte eingestellt.
      Sind Zigaretten kaufen gegangen und
      bezahlt.
      Handy nebst Sim entsorgt

      Das ganze kurz vor und nach der Tat, so das die Telefon Nummer und E-Mail Adresse nur noch im Log File steht, das auch nach 24h gelöscht wird…

      Frage zum ausprobieren:
      Kann man "einfach so", die Werte Telefonnummer und Email im Netto Konto ändern?
      Kommt da irgendwie ne Nachricht?
      Kann man nach so einer Änderung die App sofort benutzen oder muss man 24h warten?
      Ist eine sofortige erneute Änderung möglich oder auch erst nach 24h?

      Bei meiner Banking-App kann ich die Handy Nummer nicht von der App aus ändern sondern nur über die Hotline.
      Bei Amazon bekomme ich ne Nachricht, wenn ich plötzlich ne IP im Ausland habe.

      Das erklärt aber nicht, warum nur PayPal Kunden Opfer geworden zu sein scheinen.

      • Anonymous sagt:

        Stell Dir vor, die Netto App würde mit einem Server kommunizieren und dem mitteilen, dass für Kundennummer X jetzt mit den dort hinterlegten PayPal Daten ein Kauf getätigt wird. Und der Server macht das dann, weil er davon ausgeht, dass die Anfrage legitim aus einer authentifizierten Netto App stammen muss.

        Vermutung (ohne jegliche Beweise):

        Wenn man den Server direkt anspricht über ein eigenes kleines Script ausserhalb der Netto App von irgendeinem PC/Laptop/sonstwas aus und ggf. aufsteigend Kundennummern durchprobiert, geht der Server davon aus, dass diese Anfragen legitim sind und führt sie aus.

        Dass der Server ggf. nichts weiter prüft, als die Kundennummer o.ä. oder allenfalls irgendwas erratbares aus der App, klingt zwar zunächst haarsträubend, ist aber bei der haarsträubenden Softwarequalität überall nicht auszuschliessen.

        Sprich der gesamte Angriff läuft direkt über Kommunikation mit dem Netto Server, ohne dass ein Handy oder Account kompromitiert sein müsste.

        • Pau1 sagt:

          Der Betrüger hat aber die Waren von Netto, das Geld hat Netto, der PayPal User nur das Nachsehen.
          Außerdem muss man, lt.netto Datenschutz Hinweisen, die richtige Palpal-Pin in die PayPal Seite eingeben. Ich weiß nicht ob die wirklich aktuell sind.
          Vielleicht mag jemand (@Gregor) schreiben, ob das so noch stimmt.
          Ich fände es lästig wegen der 90ct für die nachgekaufte Tüte nochmal mein 14stelliges Passwort nochmals eintippen zu müssen…
          Bei der Girocard Kredit Karte ist das erst ab 30 oder 50 Euro nötig(Wireless,NFC).

  18. Gregor Brokamp sagt:

    Bereits am 09. Oktober wurde ich auch Opfer eines Betruges mit der Netto-App. Ich hatte die App bis dahin häufiger mal in Verbindung mit der Bezahlfunktion über ein Paypalkonto beim Einkaufen bei Netto genutzt und mir leider auch keine weiteren Gedanken darüber gemacht, denn ich bin davon ausgegangen, dass diese Funktion sicher genug ist.
    An diesem besagten Tag jedoch bekam ich dann um 17:58 Uhr eine Email von Netto mit dem Dank für einen Einkauf von Gutscheinen in Höhe von 250 EUR in einer von mir 450 km entfernten Netto-Filiale in Berlin. Trotz sofortiger Beschwerde bei Netto und bei Paypal sowie Anzeige bei der Polizei in Berlin bin ich bis heute auf einen Schaden von 250 EUR sitzen geblieben.
    In einem telefonischen Gespräch mit einem Netto-Kundendienstmitarbeiter verwies dieser mich auf ein Datenleck bei Paypal. Gleichzeitig wurde mir bestätigt, dass dem Netto-Kundenservice bereits weitere solcher Fälle bekannt waren und dass in den meisten Fällen wie bei mir von dem Betrüger Gutscheine in Netto-Filialen eingekauft worden sind.
    Dennoch war Netto leider nicht bereit, weiter über diese Sache zu diskutieren und lehnte Hilfe ab.
    Der ebenfalls bei Paypal sofort gestellte Einspruch (so wie so schön ausführlich in der Netto-Stellungnahme beschrieben) wurde direkt abgelehnt und der Fall geschlossen, mit der Begründung, dass keine unauthorisierte Zahlung festgestellt werden konnte. Dies obwohl ich (und auch vor allem nicht mein iPhone mit der App) nachweislich nicht in Berlin war und dort in der Netto-Filiale eingekauft habe.
    Entgegen der Aussage in der Stellungnahme gibt es keinen Käuferschutz bei Paypal in diesen Fällen.

  19. Pau1 sagt:

    Mir würde als Beschwerde-Stelle noch die

    BaFin

    einfallen.
    Die haben da ein Verbraucher-Beschwerde-Formular, und wieder etwas mehr Zeit, seit dem sie die Postbank direkt überwachen.

    Es ist ein Unding, das Kriminelle auf Kosten anderer einkaufen können, und die Verantwortlichen einfach nur den Schaden ersetzen ohne den Fehler zuzugeben und das Loch zu stopfen.

    Bisher sieht es doch in den Foren/Blogs so aus, dass die App nicht den üblichen Sicherheitsstandards entspricht, weil sie nicht das Handy als 2. Faktor anzufordern scheint. mit
    Irgendwie hat da auch noch paymorrow da etwas mit zutun.
    M.W. darf nicht einfach jeder der Interesse hat bankähnliche Geschäfte machen, sondern braucht eine entsprechende Lizenz.
    Ich vermute dass netto diese nicht hat, sondern sich der Dienste von paymorrow bedient?

    Vermutlich wäre es hilfreich, wenn die BaFin sich mal die Netto App anschaut, ob die PSD konform ist.

    pay tomorrow ist hier zu finden:
    https://portal.mvp.bafin.de/database/ZahlInstInfo/zahlinst.do?id=118849

    ja, heißt anders.

    Irgendwie unglücklich, das man Wikipedia braucht um herauszufinden wer einem da ins Konto bucht.

    Wie gesagt:
    Aldi, Rewe etc. erlauben bezahlen per Handy nur per NFC und z.B. Google pay, Familia will einen vom Handy erzeugten QR code einlesen.
    Sie stellen also auch 2 Sachen sicher:
    Ort und Wissen.
    Nur bei Netto geht es rein per Internet?
    Wirklich?

    Die App hat lt. exodus zwar die Erlaubnis die geolocation festzustellen.
    Die braucht sie aber schon, nur um WLAN nutzen zu können.
    GPS würde nix nutzen da leicht fälschbar und nicht überall innen verfügbar.

  20. Pau1 sagt:

    Also, angenommen es gibt ein Leck bei PayPal.
    Warum benutzen die Betrüger dann die netto App?
    Und wie es scheint immer nur einmalig.

    Angenommen,es gibt ein leck bei Netto.
    Dann ist klar, warum die Betrüger die netto App benutzen. Logo.
    Dann ist aber unklar warum nur palpal betroffen zu sein scheint.
    Kann man mit der App nur via PayPal zahlen?
    Klarna und all die anderen gelten nur für den Online Kauf?
    (bei dem ja klar ist, wohin das geliefert wurde. Nicht sehr interessant für einen Betrüger)

    Irgendwas fehlt da…

    DeutschlandCard ist dem aktuellen Impressum nach kein Finanzdienstleister. Das wird dann wohl paytomorrow sein.

    hm.
    in

    steht, dass man zum Bezahlen per PayPal auf die Seite von PayPal geführt wird und dort die Zahlung frei gibt.
    Von Paytomorrow stehe ich da nichts,ob auf der Netto Datenschutz Seite ein extra Link auf pay tomorrow ist.

    Warum immer nur einmal betrogen wird, wird evtl. klar, da bei jeder Zahlung ein kompletter Datensatz inkl. u.a.
    Gebdatum und IP und was gekauft wurde an eine Firma in Hamburg geschickt wird, die das validieren.

    Das wissen die Betrüger sicher auch.

    Anyway, es wird so noch weniger ein Schuh daraus.
    Die Betrüger nutzen die netto App zur Geld wäsche.
    Wobei die Gutscheine relativ riskant sind, weil ja eindeutig klar ist, wo die gekauft wurden. Sich also zurück verfolgen lassen, wenn sie eingelöst werden.
    Bei Zigaretten ist er schwerer.

  21. Pau1 sagt:

    hm.
    in

    steht, dass man zum Bezahlen per PayPal auf die Seite von PayPal geführt wird und dort die Zahlung frei gibt.
    Von Paytomorrow sehe ich da nichts,ob auf der Netto Datenschutz Seite ein extra Link auf pay tomorrow ist.

    Warum immer nur einmal betrogen wird, wird evtl. klar, da bei jeder Zahlung ein kompletter Datensatz inkl. u.a.
    Gebdatum und IP und was gekauft wurde an eine Firma in Hamburg geschickt wird, die das validieren.

    Das wissen die Betrüger sicher auch.

    Anyway, es wird so noch weniger ein Schuh daraus.
    Die Betrüger nutzen die netto App zur Geld wäsche.
    Wobei die Gutscheine relativ riskant sind, weil ja eindeutig klar ist, wo die gekauft wurden. Sich also zurück verfolgen lassen, wenn sie eingelöst werden.
    Bei Zigaretten ist er schwerer.

  22. Ebo sagt:

    Bin auch ein Betroffener.
    Bei mir wurde zwischen dem 28.11-30.11 – 4 mal für gesamt 200 € in 4 verschiedenen Filialen (400-500km) eingekauft (Lebensmittel und Aktionsware)
    3 davon sind in näherer Umgebung und eine wieder ganz woanders.
    Paypal Fall wurde sofort wieder geschlossen.
    Netto will sich darum kümmern und mir zurückerstatten.
    Ich soll mit einer Anzeige bei der Polizei noch warten meinte die freundliche Dame am Telefon.
    Ich glaube hier läuft einiges falsch bei denen….

    • JG sagt:

      "Ich soll mit einer Anzeige bei der Polizei noch warten meinte die freundliche Dame am Telefon."

      Wie bitte? Warten?. Sofort Anzeige bei der Polizei. Die Netto-Filiale bei mir hat eine Kameraüberwachung. Andere bestimmt aich. Ach was. Am besten Du wartest bis die Speicherfrist für die Kamerabilder abgelaufen ist (ironie off).

  23. Pau1 sagt:

    Hast Du denn keine zeitnahen Benachrichtigungen bekommen?

    Wie erfolgt die PayPal Zahlung?
    Das wird nirgends erwähnt.

    Wer riskiert denn eine Haftstrafe für im Schnitt 50 Euro?
    Jemand, der sehr sicher ist, nicht erwischt werden zu können? (Weil er normaler Kunde ist und glaubt, von seinem PayPal zu zahlen?)

  24. Red++ sagt:

    Ach weißt du was, ich zahle in Bar, das ist immer noch der sicherste Weg.

  25. Ebo sagt:

    Habe meine knapp 200€ von Netto ohne Probleme wieder erhalten. Ich glaube die haben ein Sicherheitsproblem welches versucht wird zu verschleiern. Einen Hack schließe ich aus.

  26. Anne sagt:

    Hallo, ich habe heute in regelmäßigen 10 minütigen Abständen Mails von Netto über getätigte Einkäufe im Netto in der Heimatstadt erhalten. Bin gerade 600km weiter weg. Polizei informiert. Netto App bei mir war installiert, nicht genutzt bisher, nur die DeutschlandCard bzw. Netto BonusCard.

    Laut Belegen wurde stets bar/EC gezahlt? bisher keine Abbuchungen bei mir über Paypal oder sonstiges. Bei Paypal habe ich nun die Bankverbindung gelöscht.

    Netto App habe ich auch gelöscht. Was ist da los? Die Einkäufe waren typische "Familien" Einkäufe im wert von 2-stelligen Beträgen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.