Polizei gibt Tipps

Lidl: Ärger mit neuem Bezahlsystem – Betrüger konnten Daten abgreifen

Lidl hat Ärger mit seiner neuen Bezahlfunktion. Wenige Wochen nach dem offiziellen Start von „Lidl Pay“ sind Kontodaten einiger Kunden wohl in die Hände von Betrügern gefallen.

Dortmund/Neckarsulm – Erst die Lidl Plus App, dann ein eigenes digitales Bezahlsystem: Der Discounter hat in Sachen Digitalisierung aufgerüstet und im April 2021 Lidl Pay in die App integriert. Allerdings hat Lidl wohl bei den Sicherheitsvorkehrungen gespart. Betrüger sollen Kontodaten von Kunden abgegriffen und damit bezahlt haben.

UnternehmenLidl
Mitarbeiter192.920 (weltweit, Stand 2019/20)
HauptsitzNeckarsulm

Betrug bei Lidl: Lidl Pay hat ein Sicherheitsproblem

Die Einrichtung des Discounter-eigenen Bezahlsystems funktioniert problemlos: Kunden, die die Lidl Plus App haben, können ihre Kontodaten in der App hinterlegen und dann per Scan ihre Einkäufe an der Kasse digital bezahlen. Ähnlich unkompliziert wie die Bezahlung per Smartphone an der Lidl-Kasse ist, soll es allerdings auch für Betrüger sein, Daten in der App abzugreifen.

Zahlreiche Kunden hatten in den letzten Wochen bemerkt, dass von ihrem Konto Beträge für einen vermeintlichen Lidl-Einkauf abgezogen wurden. Die zuständige „Lidl Digital Trading“ tätigt Abbuchungen von Konten, für die zuvor scheinbar ein Lastschriftmandat erteilt wurde – und das, obwohl die Kunden entweder gar nicht bei Lidl einkaufen waren oder die App nicht nutzen.

Warnung bei Lidl: Betrüger fischen Kontodaten über die Lidl Plus App ab

Gegenüber Supermarktblog.de berichteten einige Lidl-Kunden, dass es zu Abbuchungen von etwa 100 Euro gekommen sei. Bei anderen soll innerhalb weniger Tage hintereinander für jeweils 200 Euro eingekauft worden sein. Und das, obwohl Lidl laut den Teilnahmebedingungen für jeden Kunden, der sich für Lidl Pay registriert, ein Zahlungslimit einrichtet.

Die Lebensmittelzeitung berichtete in diesem Kontext von einem Limit von 50 Euro beim ersten Bezahlen. Funktioniert alles reibungslos, erhält der Kunde im Laufe der Zeit ein höheres Limit. Offiziell wurde die Höhe der Bezahlgrenze aber von Lidl nie bestätigt – und schaut man sich die betrügerischen Abbuchungen an, scheint sie auch nicht zu existieren (mehr Lidl-News bei RUHR24).

Lidl: Betrüger richten sich Lidl Plus Account mit fremden Kontodaten ein

Aber wie kommen Betrüger an die Kontodaten der Kunden? Aktuell ist laut Supermarktblog.de davon auszugehen, dass die Betrüger sich einen Account bei Lidl Plus einrichten. Danach aktivieren sie die Bezahlfunktion mit fremden Kontodaten. Woher diese allerdings stammen, ist unklar – möglicherweise von früheren Hackerangriffen oder Betrugsmaschen bei anderen Unternehmen.

Das Problem: Bis die Abbuchungsankündigung von Lidl kommt, dauert es aktuell drei Tage. Danach noch weitere ein bis drei Tage, bis die Abbuchung erfolgt. Betrüger haben also fast sechs Tage Zeit, bis der Kunde bemerkt, Opfer einer fiesen Abzocke geworden zu sein. Dadurch sind die Betrüger oftmals nur noch schwer zu ermitteln und der Kunde bleibt auf seinem Schaden sitzen.

Im April 2021 integrierte Lidl die Bezahlfunktion in die Lidl Plus App - jetzt häufen sich die Betrugsvorfälle.

Denn widersprechen die Kunden der Abbuchung auf ihrem Konto, bekommen sie zwar im besten Fall den Betrag von der Bank erstattet, doch kurze Zeit später meldet sich ein Inkasso-Unternehmen mit einer Abmahnung für die fehlende Zahlung – faktisch wurde der Einkauf ja auch getätigt. Dann bleibt den Kunden nur noch die Möglichkeit, sich an den Discounter selbst zu wenden.

Betrug mit Lidl Pay: Polizei ist informiert und gibt Tipps für betroffene Kunden

Auch die Polizei weiß schon Bescheid über die möglichen Betrugsfälle bei Lidl. Auf Anfrage von Supermarktblog.de kam folgende Antwort:

„Das von Ihnen benannte Phänomen ist der Polizei Berlin bekannt und wird seit dem 1. Juni 2021 statistisch im Betrugsdezernat des Landeskriminalamtes erfasst. Aufgrund der Kürze des Erfassungszeitraums liegen jedoch noch keine validen Zahlen vor.“

Polizei Berlin

Die Polizei rät betroffenen Lidl-Kunden außerdem zum einen die Rückbuchung zu veranlassen, zum anderen aber auch Anzeige zu erstatten. Auch Lidl hatte auf Kundenanfragen reagiert und zu diesem Schritt geraten. Man solle Strafanzeige gegen Unbekannt bei der örtlichen Polizei stellen. Die Kunden des Discounters fühlten sich dennoch ihren Aussagen zufolge von Lidl im Betrugsfall alleine gelassen und sind verärgert.

Betrug bei Lidl: Discounter äußerst sich zu Vorfällen bei Lidl Pay

Inzwischen hat der Discount-Gigant sich auch zu den Vorfällen geäußert und angegeben, weitere Sicherheitsmaßnahmen für die Zahlung mit Lidl Pay einzuführen. Außerdem prüfe man derzeit das Anliegen ausführlich gemeinsam mit den Ermittlungsbehörden. Auch die Bearbeitung durch den Inkasso-Partner „stoppen wir selbstverständlich sofort, sollte sich ein Betrugsverdacht nach einer Anzeige bestätigen“. Derzeit seien dem Discounter jedoch nur Einzelfälle bekannt.

Bislang war Lidl was die Authentifizierung eines Kontos betrifft wohl etwas fahrlässig. So wurde Berichten zufolge, nicht immer überprüft, ob ein bei Lidl Pay eingetragenes Konto auch tatsächlich dem angemeldeten Lidl-Kunden gehört. In einigen Fällen war die Bezahlfunktion sofort und ohne Verifizierung vorab freigeschaltet. Ob Lidl an dieser Stelle nachgerüstet hat, ist noch nicht bekannt.

Lidl Pay anfällig für Betrug: Lidl muss in Sachen Sicherheit nachrüsten

Seit Beginn dieses Jahres ist beim Online-Shopping oder digitalen Bezahlvorgängen eine Zwei-Faktor-Authentifizierung notwendig. Das Problem: Für SEPA-Lastschriften gilt diese Maßnahmen nicht. Das ist allerdings die einzige Zahlungsmöglichkeit, die Lidl aktuell seinen Kunden in Deutschland anbietet.

Dennoch ist die Betrugsmasche bei Lidl kein Einzelfall – und kommt insbesondere im Internet immer öfter vor. Fälle häufen sich, bei denen fremde Kontodaten genutzt werden, um ein Mandat zu erteilen. Eine Möglichkeit, dies zu umgehen, wäre die sogenannte Kontrollabbuchung in Höhe von einem Cent, um nachzuvollziehen, ob der Kunde tatsächlich Abbuchungen erlaubt. Paypal nutzt unter anderem dieses Verfahren. Ebenso Lidl – allerdings nicht in Deutschland. Ob an dieser Stelle Änderungen beim Discounter geplant sind, ist nicht bekannt.

Rubriklistenbild: © Polizei NRW, Lidl Deutschland GmbH, Collage: RUHR24