Betrüger shoppen mit seinen Cumulus-Bons
1:37
Zigis und Lose für 415 Franken:Betrüger shoppen mit seinen Cumulus-Bons

Zigaretten und Glückslose für 415 Franken
Betrüger shoppen mit seinen Cumulus-Bons

Adrian S. kauft in der Migros Butter und Rahm. Eine Viertelstunde später geben Kriminelle seine Cumulus-Punkte für Zigaretten und Lose aus. Ist die Migros-App nicht sicher?
Publiziert: 23.02.2020 um 00:21 Uhr
|
Aktualisiert: 24.02.2020 um 00:18 Uhr
1/7
Die Filiale in Erlenbach ZH: Hier begannen die kuriosen Vorkommnisse.
Foto: Siggi Bucher
Tobias Marti (Text) und Siggi Bucher (Fotos)

Adrian S.* traute seinen Augen nicht. Litt er an Wettfieber? Anders war dieser Kassenbon nicht zu erklären: 32 Glückslose sollte er gekauft haben. Dazu eine Schachtel Marlboro Gold. Machte zusammen eine Rechnung von 415 Franken.

Nur: Adrian S. ist Nichtraucher, «Happy Day»-Lose kauft er nicht. Die Voi-Filiale in Geroldswil ZH, in der er seine Cumulus-Bons verprasst haben soll, hat er nie im Leben betreten.

Der 66-jährige Pensionär ist Opfer eines Cumulus-Diebstahls geworden. Meldungen über geprellte Migros-Kunden häuften sich in dieser Woche. Den ersten Fall in der Romandie machte «20 Minuten» publik.

Nur eine Viertelstunde bevor Kriminelle mit seinen Cumulus-Punkten auf Shopping-Tour gingen, war Adrian S. selber am Einkaufen. Vollrahm, Butter, Kürbis – Dinge des täglichen Bedarfs postete er in der Migros Erlenbach ZH. Auf seinem Mobiltelefon war die Migros-App geöffnet. Adrian S. benutzt sie, um Kassenbons und Cumulus-Konto zu verwalten und zum Zahlen. Ausserdem war sein Handy mit dem öffentlichen WLAN der Filiale verbunden. Um 12.26 Uhr bezahlte er an einer Selbstbedienungskasse. So weit, so gewöhnlich.

Bons in Geroldswil eingelöst

Zwölf Minuten später, um 12.38 Uhr, wurde im Voi in Geroldswil sein Cumulus-Konto geleert. Voi ist ein Ladenkonzept der Migros, wo das gekauft werden kann, was die Migros eigentlich nicht verkauft: Alkohol und Tabak. Entscheidend für die Gauner: Voi akzeptiert Cumulus-Bons als Zahlungsmittel.

Zwischen Geroldswil im Limmattal und Erlenbach an der Zürcher Goldküste liegt eine Fahrt von einer halben Stunde. «Da muss einer im Laden gewesen sein, der dann seine Komplizen verständigte», vermutet Adrian S. Erst drei Tage danach bemerkte er den Diebstahl. Er meldete ihn bei der Migros und erstattete auf dem Polizeiposten in Meilen Anzeige.

In der Strafsache werde unter anderem wegen Missbrauchs einer Datenverarbeitungsanlage ermittelt, bestätigt die Zürcher Kantonspolizei. Wer hinter der Betrugsmasche steckt und wie diese ablief, weiss noch keiner. Die Ermittlungen seien im Gange, betont die Kapo. Aber: «Die Nutzung des öffentlichen WLAN steht in diesem Fall nicht im Vordergrund.»

«Migros-App ist von vorgestern»

Der Digital- und Telekom-Experte Jean-Claude Frick von comparis.ch lokalisiert eine andere Schwachstelle: «Was die Sicherheit angeht, ist die Migros-App von vorgestern». Anfangs habe man auf dieser nur Kassenbons verwaltet. Heute funktioniere diese wie eine Bank-App. Das sei heikel. Auch wegen der Daten, die drauf seien. «Ich will ja nicht, dass jeder weiss, was ich so einkaufe», findet Frick. Wer sich einmal mit Benutzername und Passwort eingerichtet habe, sei im System drin und könne auf der App schalten und walten, wie er wolle.

Die Migros ist um Schadensbegrenzung bemüht: Cumulus-System und App seien sicher. Weder seien diese gehackt worden noch seien Leaks entstanden. Künftig werde aber die sogenannte Zwei-Faktoren-Authentifizierung für Cumulus-Bons eingeführt, etwa mittels SMS-Code, teilt ein Sprecher mit. Die Migros geht davon aus, dass Passwort und Login-Daten von Adrian S. auf einer anderen Plattform gestohlen wurden. Mit diesen Daten hätten sich die Täter Zugriff auf sein Cumulus-Konto verschafft.

Adrian S. beteuert jedoch, ­verschiedene Passwörter zu ­benutzen und diese regelmässig zu wechseln. Die Cumulus-Punkte gab es zurück. Adrian S.: «Da zeigte sich die ­Migros kulant.»

*Name bekannt

Kredit- und Bankkarten in Alufolie einwickeln

Vor welcher Betrugsmasche muss ich mich derzeit in Acht nehmen?
Jean-Claude Frick: Noch relativ unbekannt ist der sogenannte NFC-Trick. NFC heisst der Chip in den Bank- und Kreditkarten, den man fürs kontaktlose Bezahlen braucht. Weil dieser Chip immer sendet, können Kriminelle Kartendaten absaugen.

Wie genau stellen die Betrüger das an?
Wie das Lesegerät an der Kasse, muss auch der Kriminelle mit seinem Gerät nah genug an unsere Karte herankommen, um die Daten absaugen zu können. Vorsicht also an Weihnachtsmärkten oder Grossanlässen, wo man sich nahe kommt. Wenige Zentimeter sind nah genug, oft braucht es gar keinen Körperkontakt.

Wie schütze ich mich?
Bei manchen Karten kann der Chip auf Wunsch deaktiviert werden. Erfahrungsgemäss ist das bei Kreditkarten schwieriger. Es gibt Schutzhüllen, die die Strahlung dämmen, weil Alu eingebaut ist. Was ebenfalls tadellos funktioniert: Seine Karten in Alufolie einwickeln.

Wie sicher sind neuartige Handybezahlsysteme?
Deutlich sicherer als Migros- oder Coop-Apps. Die Systeme haben mehrstufige Sicherheitsfaktoren. Ich kenne kaum Fälle von Daten-Diebstählen.

Wie sicher sind eigentlich Selbstbedienungskassen?
Die zu knacken, halte ich für ausgeschlossen. Gangster müssten mit Werkzeug an die Arbeit gehen. Das würde auffallen.

Interview: Tobias Marti

Vor welcher Betrugsmasche muss ich mich derzeit in Acht nehmen?
Jean-Claude Frick: Noch relativ unbekannt ist der sogenannte NFC-Trick. NFC heisst der Chip in den Bank- und Kreditkarten, den man fürs kontaktlose Bezahlen braucht. Weil dieser Chip immer sendet, können Kriminelle Kartendaten absaugen.

Wie genau stellen die Betrüger das an?
Wie das Lesegerät an der Kasse, muss auch der Kriminelle mit seinem Gerät nah genug an unsere Karte herankommen, um die Daten absaugen zu können. Vorsicht also an Weihnachtsmärkten oder Grossanlässen, wo man sich nahe kommt. Wenige Zentimeter sind nah genug, oft braucht es gar keinen Körperkontakt.

Wie schütze ich mich?
Bei manchen Karten kann der Chip auf Wunsch deaktiviert werden. Erfahrungsgemäss ist das bei Kreditkarten schwieriger. Es gibt Schutzhüllen, die die Strahlung dämmen, weil Alu eingebaut ist. Was ebenfalls tadellos funktioniert: Seine Karten in Alufolie einwickeln.

Wie sicher sind neuartige Handybezahlsysteme?
Deutlich sicherer als Migros- oder Coop-Apps. Die Systeme haben mehrstufige Sicherheitsfaktoren. Ich kenne kaum Fälle von Daten-Diebstählen.

Wie sicher sind eigentlich Selbstbedienungskassen?
Die zu knacken, halte ich für ausgeschlossen. Gangster müssten mit Werkzeug an die Arbeit gehen. Das würde auffallen.

Interview: Tobias Marti

Fehler gefunden? Jetzt melden
Was sagst du dazu?