An Tankstellen und in Supermärkten sind Guthabenkarten von Apple über Ikea bis Zalando allgegenwärtig und als Geschenke eine beliebte Alternative zu profanem Bargeld. Die Überraschung ist jedoch groß, wenn der Beschenkte an der Kasse oder im Online-Shop erfährt, dass kein Guthaben mehr vorhanden ist. Liegt kein Computerfehler vor, hat möglicherweise ein Betrüger zuvor auf Kosten des Beschenkten eingekauft, wie c't in der neuen Ausgabe 8/15 berichtet. Um solche "Schlechtscheine" auszunutzen, benötigt er nur ein Stück Klebeband oder einen Aufkleber – denn die Guthaben sind überhaupt nicht oder nicht wirksam vor Missbrauch geschützt.

Identifikation per Barcode

Dabei kann ein Betrüger ausnutzen, dass die Geschenkkarten von Apple, Jet, Media Markt, Saturn, Obi, Toom und vielen anderen Firmen als einziges Identifikationsmerkmal einen simplen EAN13- oder ITF-Barcode verwenden. Dieser ist üblicherweise auf der Rückseite einer scheckkartengroßen Plastikkarte aufgedruckt. Um Diebstähle zu vermeiden, sind Geschenkkarten vor dem Verkauf wertlos, die Karten selbst für eine ansprechende Präsentation am Verkaufsständer auf einen Pappträger geklebt. Erst, wenn der Verkäufer den Barcode des Gutscheins an der Kasse eingescannt hat, erfolgt die Aktivierung mit dem zugehörigen Guthaben.

Diese Aktivierung per Barcode-Scanner ist der Punkt, an dem Betrüger ansetzen können. Denn der Barcode ist bei diesem Vorgang das einzige Identifizierungs- und Sicherheitsmerkmal – selbst dann, wenn die Gutscheinkarte zusätzlich mit einer Pin oder einem Sicherheits-Code unter einem Rubbelfeld versehen ist. Hinter dem Barcode verbirgt sich die Nummer eines Guthabenkontos, das bei Aktivierung des Gutscheins auf einem Server eingerichtet und mit Guthaben aufgeladen wird. Über das Guthaben verfügen kann theoretisch nur derjenige, der den korrekten Barcode besitzt, den es eigentlich auch nur ein einziges Mal geben dürfte: Aufgedruckt auf der Plastikkarte.

Bild 1 von 10 Schlechtscheine: Schlecht geschützte Geschenkgutscheine (10 Bilder) Doppelter Barcode Bei Gutscheinen von Media Markt, Saturn und vielen anderen Firmen ist der Barcode zusätzlich auf der Rückseite des Pappträgers aufgedruckt. Vertauscht ein Betrüger die Plastikkarten, kann er das Guthaben abzocken.



Keine Sicherheit

Doch die Praxis ist eine andere: Damit der Kassierer die Karte für das Einscannen nicht vom Gutschein lösen muss, ist der Barcode bei Gutscheinen von Media Markt, Saturn und anderen Firmen zusätzlich auf der Rückseite des Pappträgers aufgedruckt. Ein Betrüger könnte also im Ladengeschäft die Plastikkarten zweier Gutscheine ablösen und vertauscht wieder aufkleben. Kauft ein Kunde einen der beiden präparierten Gutscheine, scannt der Verkäufer den Barcode auf der Rückseite des Pappträgers, aktiviert damit aber die Plastikkarte auf dem anderen Pappträger.

Bei anderen Gutscheinkarten gibt es den Barcode dagegen tatsächlich nur ein einziges Mal. Aber auch hier hat ein Betrüger leichtes Spiel, indem er den Barcode mit einem eigenen Aufkleber überklebt. Kauft ein ahnungsloser Kunden den so präparierten Gutschein, wird die Gutscheinkarte des Betrügers mit Guthaben aufgeladen.

Besonders leicht haben es Betrüger bei Karten von Toom Baumarkt und anderen Firmen, die sogar fortlaufende Nummern für ihre Gutschein-Barcodes verwenden. So lassen sich neue Barcodes besonders leicht herstellen.

Auch Gutscheinkarten mit Magnetstreifen, wie sie von Tankstellen wie Shell, aber auch bei Ikea massenhaft eingesetzt werden, sind keineswegs fälschungssicher. So könnten Betrüger die Magnetstreifen-Daten eines Gutscheins auf den Magnetstreifen eines zweiten kopieren.

Guthaben schleunigst verbrauchen

Je nach Gutscheinvariante haben Kunden praktisch keine Möglichkeit, Manipulationen zu erkennen – das Risiko, betrogen zu werden, ist unkalkulierbar. Sie sollten deshalb insbesondere auf Gutscheine verzichten, die sich ohne Pin einlösen lassen oder deren Barcode gar fortlaufend nummeriert ist. Auch von Gutscheinkarten mit Magnetstreifen sollten Sie die Finger lassen, sie könnten unbemerkt manipuliert worden sein. Besitzen Sie bereits einen der genannten Schlechtscheine, so sollten Sie das Guthaben schnellstmöglich aufbrauchen – bevor es ein Betrüger tut.

Lesen Sie dazu den Artikel in der c't 8/15 mit weiteren Einzelheiten und Details zu den möglichen Betrügereien:



Bei Problemen mit der Wiedergabe des Videos aktivieren Sie bitte JavaScript

Auch in der aktuelle Folge von c't uplink werden die Schlechtscheine diskutiert: (mid)