5. Dezember 2025, 11:34 Uhr | Lesezeit: 2 Minuten
Wer bei Payback Punkte sammelt, wähnt sein Konto oft in sicheren Händen – doch derzeit nutzen Kriminelle genau diese trügerische Sicherheit aus. Mit im Netz herumgeisternden Zugangsdaten verschaffen sie sich Zugriff auf fremde Accounts und wandeln Punkte heimlich in Gutscheine um.
Payback ist erneut Ziel einer Betrugswelle, bei der Konten mit bereits im Internet verfügbaren Zugangsdaten gehackt werden. Laut dem Unternehmen selbst besteht keine Sicherheitslücke in der eigenen Infrastruktur. Vielmehr greifen die Täter auf Daten zurück, die durch frühere Leaks in Umlauf geraten sind. Besonders gefährdet sind Nutzer, die einfache Passwörter verwenden oder identische Zugangsdaten auf mehreren Plattformen nutzen.
Die Kriminellen setzen automatisierte Programme – sogenannte Bots – ein, um massenhaft Log-ins zu testen. Um diesen Angriffen entgegenzuwirken, hat Payback auf seiner Website Bilderrätsel (CAPTCHAs) integriert. Diese Maßnahme fehlt bislang jedoch in der iPhone-App. Deshalb täuschen Täter einen iPhone-Zugriff vor, um ungehindert an Punkte und persönliche Daten zu gelangen.
So funktioniert die Übernahme der Konten
Ein Reporterteam von STRG_F hat im Rahmen einer YouTube-Recherche mit einem mutmaßlichen Betrüger gesprochen. Dieser 18-Jährige gab an, Zugangsdaten über zwielichtige Quellen wie Telegram erhalten zu haben. Auf solchen Plattformen werden Payback-Konten mit bis zu 5000 Punkten – umgerechnet rund 50 Euro – für etwa 3,50 Euro verkauft.
Die Täter arbeiten mit sogenannten LOGS, in denen gestohlene Log-in-Daten samt Geräteinformationen gespeichert sind. Passwörter stammen meist aus sogenannten Combolists – umfangreichen Sammlungen gestohlener E-Mail- und Passwort-Kombinationen. Die Betrüger lösen mit diesen Daten Gutscheine ein und verschleiern ihre Spuren, indem sie das E-Mail-Postfach des Opfers mit Spam überfluten, damit Benachrichtigungen über die Punkteinlösung untergehen.
Auch interessant: Tausche Payback-Punkte nicht gegen Sachprämien ein!
Zwei-Faktor-Authentifizierung schützt vor Zugriffen
Nutzer, die die Zwei-Faktor-Authentifizierung (2-Schritt-Verifizierung, 2SV) aktiviert haben, sind laut Payback besser geschützt. Bei einem Log-in von einem neuen Gerät sendet das System eine Benachrichtigung an das registrierte „sichere“ Gerät. Erst nach Bestätigung erfolgt der Zugriff.
Zwar stuft die Polizei die Betrugsmasche derzeit nicht als akute Bedrohung ein, dennoch können Nutzer auf Webseiten wie dem Hasso-Plattner-Institut oder haveibeenpwned.com prüfen, ob ihre E-Mail-Adresse bereits betroffen ist. Grundsätzlich wird geraten, überall unterschiedliche und starke Passwörter zu verwenden und 2SV zu aktivieren – nicht nur bei Payback.