Update: Ein Code sei laut Wunschgutschein-Kundendienst bereits wenige Tage und der andere zwei Wochen nach dem Kauf eingelöst worden. Also einen Monat vor dem Öffnen und Freirubbeln.
Optionen sind nun Zivilklage auf Einlösung und Strafanzeige gegen Unbekannt.
Zwei 50€-Gutscheine, die erst Anfang März gekauft wurden und eine einwandfreie Rubbelschicht hatten, gaben mir beim Einlösen zunächst die Fehlermeldung „ungültig“. Bei den nächsten Eingabeversuchen wurde daraus „es ist ein Fehler aufgetreten“ und schließlich „bereits eingelöst“.
Daraufhin habe ich den Support kontaktiert und die Seriennummern übermittelt.
Als Antwort erhielt ich, dass beide Codes bereits eingelöst seien und ich bei „Verdacht auf Einlösung Dritter“ die Polizei kontaktieren solle. Weitere Informationen könne mir der Support aus Datenschutzgründen nicht zur Verfügung stellen.
Ich bin fassungslos und kann mir nicht erklären, wie es einem Betrüger statistisch möglich sei sollte, zwei 9-stellige Codes aus Zahlen, Groß- und Kleinbuchstaben zu erraten. Daher kommt für mich nach der Erklärung des Kundendienstes nur eine enorme Sicherheitslücke bei Wunschgutschein selbst oder ein großes technisches Problem infrage.
Optionen sind nun Zivilklage auf Einlösung und Strafanzeige gegen Unbekannt.
Zwei 50€-Gutscheine, die erst Anfang März gekauft wurden und eine einwandfreie Rubbelschicht hatten, gaben mir beim Einlösen zunächst die Fehlermeldung „ungültig“. Bei den nächsten Eingabeversuchen wurde daraus „es ist ein Fehler aufgetreten“ und schließlich „bereits eingelöst“.
Daraufhin habe ich den Support kontaktiert und die Seriennummern übermittelt.
Als Antwort erhielt ich, dass beide Codes bereits eingelöst seien und ich bei „Verdacht auf Einlösung Dritter“ die Polizei kontaktieren solle. Weitere Informationen könne mir der Support aus Datenschutzgründen nicht zur Verfügung stellen.
Ich bin fassungslos und kann mir nicht erklären, wie es einem Betrüger statistisch möglich sei sollte, zwei 9-stellige Codes aus Zahlen, Groß- und Kleinbuchstaben zu erraten. Daher kommt für mich nach der Erklärung des Kundendienstes nur eine enorme Sicherheitslücke bei Wunschgutschein selbst oder ein großes technisches Problem infrage.
selber "zur internen Nutzung" benutzt. Wusste ich anfangs nicht, sondern nur dass die ausgegebenen Amazongutscheine
benutzt waren. Die Amazonmitarbeiter durfte zwar nicht sagen von wem, aber hat sich dann bei demjenigen "Firmenkonto"
mit dem Fall gemeldet. Es waren aber schon freigerubbelte und als Amazon-Gutschein verschickte Codes.
Und ja, Wunschgutschein Kundenservice hat nach anfänglich "ist uns alles egal ist eh Ihre Schuld" kleinlaut angerufen
und mir die Codes ersetzt. Einen mickrigen Euro als Entschädigung draufgelegt ? Neeee, haben die nicht nötig
War alles schon 2017, seitdem habe ich ehrlicherweise keine Probleme mehr mit denen gehabt ...
Interessantes Thema!
Da ich schon viele WGs eingelöst habe, auch mehrfach in Kontakt mit dem Support stand und aus dem IT Bereich komme, möchte ich gerne ein paar Infos dazu beisteuern.
Vorab ich hatte keine Probleme mit bereits eingelösten GS.
Zu den WG Karten/Codes:
Es fehlen hier definitiv weitere Sicherheitsmerkmale.
Es ist ein loser Code und die Seriennummer.
Zwar dürfte das Codeformat der WG Codes ausreichen um zu vermeiden, dass diese per brute force erraten werden und sie sind auch besser als ROSSMANN Codes, aber da ist noch viel Luft nach oben.
Zudem kann der WG Support in einzelnen Fällen nach der Seriennummer und/oder einem Bild der WG Karte fragen.
Das ist okay nur sollte man evtl beim Einlösen einen Hinweis darauf zeigen, denn ich kann mir vorstellen, dass manche User die Karten entsorgen bevor die Mails mit den Codes ankommen.
Hier könnte man die Usability etwas verbessern.
Zum WG Support:
Mal abgesehen von den sinnlosen temporären Sperrungen von Guthaben usw. die aber evtl rechtlich bedingt passieren, bin ich mit WG und vor allem mit dem Support sehr zufrieden.
Dennoch wird das Thema Sicherheit meiner Meinung nach vernachlässigt:
Gibt es ein Problem mit einem Code, muss man diesen vollständig dem Mitarbeiter nennen oder auch per Mail schicken.
Denkbar wäre hier zB die Nennung der Mail unter der man den Code eingelöst hat bzw versucht hat einzulösen + die letzten drei Stellen des Codes.
(Wenn man dem Support von dieser Mail aus schreibt sogar nur die Nennung der letzten 3 Stellen.)
Mitarbeiter sollten die kompletten Codes nur in Ausnahmefällen wissen!
In Fällen in denen Gutscheine der Einlösepartner zunächst nicht ankommen werden sie teilweise später per Mail und im Klartext verschickt.
(Und ja ich weiß die GS Mails lassen sich auch automatisch erneut senden dafür hat WG eine Eingabemaske, funktioniert jedoch in manchen Fällen nicht.)
Das bedeutet für den User konkret:
Der WG Mitarbeiter kennt:
- Den vollständigen WG Code
- Den vollständigen Code des Einlösepartners
... Und wer weiß was der WG Support ohne zutun von Nutzern einsehen kann hier könnten sich weitere "Lücken" zeigen.
Ganz ganz dummes Beispiel:
Ein Kumpel hat vor zig Jahren mal bei Aral an der Tanke gearbeitet.
Damals konnte man eine Liste der dort gekauften und nicht eingelösten Tankgutacheine einsehen.
An den richtig alten wurde sich dann einfach bedient. Verifizieren kann ich diese Aussage natürlich nicht, aber ich denke ihr wisst, worauf ich hinaus möchte.
Soll heißen WG sollte hier nachbessern und das prüfen.
Natürlich ist es ebenso denkbar wie andere User bereits beschrieben haben:
Lücke in Kassensystem eines Supermarktes, Betrüger, die die Codes vorab durch Durchleuchten der Karten sehen können o.ä.
Das ist hoffentlich die Quelle des Problems!
Nachtrag:
Außerdem stimmt es eben nicht, dass es so schwer ist, die Einlöser solcher GS zu schnappen. Nur ohne Kooperation von WG selbst wird es eben besonders schwierig.
WG kann sehr wohl herausfinden, ob es Muster bei den eingelösten GS gibt z.B. alle gekauft in Filiale xy und oder in bestimmtem Zeitraum.
Außerdem und da bin ich mir sehr sicher, loggt WG serverseitig jegliche Aktivitäten das bedeutet sie sehen zumindest folgendes in den Logs:
- Wurde ein Code bereits vor dem Kauf versucht einzulösen (eigentlich sollte man ihn dann sofort sperren...)?
- von welcher IP/Mail und zu welchem Zeitpunkt wurde der GS eingelöst
- von welcher IP/Mail und zu welchem Zeitpunkt wurde der GS dann nochmals vom echten Käufer versucht einzulösen
- wie viel Zeit verging zwischen Kauf und Einlösezeitpunkt
- to be continued
Wenn WG schon immer meint sich so an die Geldwäsche Gesetze halten zu müssen könnte man erwarten, dass sie solchen Betrugsfällen auch nachgehen. Es schädigt immerhin auch ihren Ruf...
Ich hab z. B. schon eine Anzeige gegen Unbekannt im Zusammenhang mit gestohlenen Paketen welche durch DPD zugestellt wurden gemacht. Da ist gar nichts passiert, es gab trotz Beschwerden auch auf anderen Kanälen niemals irgendeine Reaktion von DPD dazu.
Das ist ja schon ein handfester Betrugsversuch, bzw. Diebstahl, die Gutscheine waren ja in deinen Besitz übergegangen. Hätte man über eine Anzeige nachdenken können, um so ein verhalten in Zukunft zu unterbinden. Klingt so als würde das zu deren Geschäftsmodell gehören, lange nicht eingelöste Gutscheine einfach zurückzuklauen.
Der Support sagt bloß, dass aus Datenschutzgründen nichts weiter gesagt werden darf als dass der Gutschein „bereits eingelöst” wurde und ich mich bei der „Vermutung durch Nutzung Dritter” an die Polizei wenden solle. Meine Vermutung ist jedoch ebenfalls, dass die Ursache bei der Wunschgutschein Gmbh liegt…
Und, erstattest du dann jetzt anzeige wie vorgeschlagen?
wenn ja, dann halt uns auf dem laufenden. Ist sicher auch für andere betroffene interessant.
selber "zur internen Nutzung" benutzt. Wusste ich anfangs nicht, sondern nur dass die ausgegebenen Amazongutscheine
benutzt waren. Die Amazonmitarbeiter durfte zwar nicht sagen von wem, aber hat sich dann bei demjenigen "Firmenkonto"
mit dem Fall gemeldet. Es waren aber schon freigerubbelte und als Amazon-Gutschein verschickte Codes.
Und ja, Wunschgutschein Kundenservice hat nach anfänglich "ist uns alles egal ist eh Ihre Schuld" kleinlaut angerufen
und mir die Codes ersetzt. Einen mickrigen Euro als Entschädigung draufgelegt ? Neeee, haben die nicht nötig
War alles schon 2017, seitdem habe ich ehrlicherweise keine Probleme mehr mit denen gehabt ...
Zunächst werde ich Beschwerde einreichen und hoffen, dass es sich nur als technisches Problem entpuppt (ich hatte in der Vergangenheit einmal ein ähnliches Problem, bei dem ich einen Code auf shoppingkonto.de eingelöst habe, mir aber kein Guthaben gutgeschrieben wurde und der Code dann als eingelöst galt. Das wurde allerdings umgehend vom Support behoben).
Falls das nichts bringt, erkundige ich mich bei der Verbraucherzentrale und würde dann rechtliche Schritte einleiten. Aber eher gegen die Wunschgutschein Gmbh als gegen Unbekannt, wie vom Support empfohlen…
Das ist ja schon ein handfester Betrugsversuch, bzw. Diebstahl, die Gutscheine waren ja in deinen Besitz übergegangen. Hätte man über eine Anzeige nachdenken können, um so ein verhalten in Zukunft zu unterbinden. Klingt so als würde das zu deren Geschäftsmodell gehören, lange nicht eingelöste Gutscheine einfach zurückzuklauen.
Du sagst, Du bist Opfer eines Betrugs geworden, verzögerst aber hattnäckig, deswegen Anzeige zu erstatten.
Hilf mir doch bitte, das zu verstehen
Ich wurde nach der Beschwerde nun an eine andere Abteilung von Wunschgutschein verwiesen. Die Antwort von denen warte ich nun ab.
Oder unabhängig vom Ergebnis Anzeige gegen Wunschgutschein GmbH erstatten?
Anzeige wegen was genau? Man könnte da was versuchen wegen fehlender Leistung. Anzeige müsste man sich gut überlegen, also den Grund.
Genau. Ich hab diesbezüglich noch keine Erfahrungen. Aktuell warte ich deshalb noch, ob es sich als „Fehler” entpuppt. Anzeige wäre als erster Schritt unverhältnismäßig, aber wenn es am Ende darauf hinausläuft, dass man 100€ für Gutscheine ausgibt (die wohlgemerkt mehrere Jahre gültig sind) und nach gut einem Monat die gekaufte Leistung nicht erbracht wird, hat man ne rechtliche Grundlage. Allgemein wird das Nachweisen bei Gutscheinbetrug natürlich sehr kompliziert. Auf wunschgutschein.de muss man zwar nen Namen bei der Einlösung angeben, das kann aber auch Max Mustermann sein…
Der Support hatte mich ja bereits auf die Polizei hingewiesen, wenn der „Verdacht besteht, dass ein Dritter die Gutscheine eingelöst hat”. Soweit ich das mit Wahrscheinlichkeitsrechnung beurteilen kann, ist es allerdings nahezu unmöglich, dass ein Dritter zwei Codes errät. Plausibel ist dann nur eine Schwachstelle bei Wunschgutschein.
Hab darauf hin gerade zwei Codes problemlos eingelöst, die auch schon seit ein paar Wochen aktiviert hier rumlagen. Zumindest ist das Problem nicht flächendeckend!
Drücke die Daumen, dass es sich irgendwie klärt.
Und nein - Spam ist leer...
Vorher einen 15er und einen 25er ohne Probleme eingelöst. Ich habe den Support angeschrieben, mal sehen was rauskommt.
Erstatten schonmal eine Anzeige.
Ich finde das ziemlich logisch. Von der Anzeige kommt das Geld nicht zurück und ein Täter wird da auch nicht ermittelt. Wenn da überhaupt noch die Chance besteht, irgendwie an die Kohle zu kommen, dann bei Wunschgutschein selbst.
Das ist nicht logisch. Ich würde immer Anzeige erstatten.
Um den "Datenschutz, wir sagen nix" Block kommt er nicht rum, die Polizei aber schon.
Wenn der Anbieter nicht erstattet, hat man dann jemand für die Zivilklage um das Geld wieder zu bekommen. Plus so eine Anzeige macht auch den Anbietern Beine, weil es dann nicht mehr irgendwo im Callcenter bearbeitet wird.
Ich hab z. B. schon eine Anzeige gegen Unbekannt im Zusammenhang mit gestohlenen Paketen welche durch DPD zugestellt wurden gemacht. Da ist gar nichts passiert, es gab trotz Beschwerden auch auf anderen Kanälen niemals irgendeine Reaktion von DPD dazu.
Alles gut - Kundenservice hat mir heute morgen den Code geschickt.
Du könntest trotzdem eine Anzeige erwägen wegen der verspäteten Lieferung.
Im Internet findet man jedenfalls in den letzten Monaten einen starken Anstieg an Beschwerden mit dem gleichen oder ähnlichen Problemen (Code ungültig/bereits eingelöst)
Auf jeden Fall bei Trustpilot und anderen Plattformen erwähnen. Du kannst es ja belegen.
Habe es bereits auf mehreren Platformen gemeldet und dort dann den Hinweis auf die andere Abteilung (duhoffice@wunschgutschein.de) bekommen. Die Antwort kam dann allerdings wieder von der normalen hilfe@wunschgutschein.de Adresse. In der Antwort wurde nun noch zusätzlich gesagt, dass die Mail-Adresse der angeblich erfolgreichen Einlösung nicht mit meiner übereinstimmt. Also ein weiterer Hinweis auf eine massive Sicherheitsschwachstelle bei Wunschgutschein?
Ich erkundige mich jetzt erstmal, welche genauen Möglichkeiten es gibt. Beweisführung bei Gutscheinen allgemein (da theoretisch anonym einlösbar) stelle ich mir als sehr kompliziert vor. Dann muss man wohl zukünftig das Freirubbeln und Einlösen aufzeichen.
Kann ja sein dass bei der Herstellung jemand die Codes aufgeschrieben hat bevor die Rubbelschicht draufkam
Warum wundert dich , dass die E-Mail Adresse bei der Einlösung nicht mit deiner übereinstimmt ? Ist ja logisch dass ein Dritter nicht deine E-Mail eingibt. Die Codes sollen nicht an dich gehen.
bitte mal Hirn einschalten
Mein Anfangsverdacht war, dass es sich um einen technischen Fehler handelt. Das hatte ich bereits einmal bei Wunschgutschein.
Ich habe nirgends gesagt, dass ich darüber erstaunt bin.
Sind die Fälscher jetzt evtl. soweit und manipulieren den Barcode oder den Rubbelcode? Es gab mal Zeiten, da konnte man die PIN einer Bankkarte mit ner Taschenlampe durchleuten und lesen bis die dann nochmal extra eingepackt wurden in das etwas dickere Papier mit schwarzen Muster drauf. Evtl. durchlebt das Durchleuten hier ein Revival?
Update:
Die Verbraucherzentrale hat sich freundlich bei mir gemeldet und der Fall läuft nun auf eine zivilrechtliche Klage hinaus. Die von der Wunschgutschein GmbH vorgeschlagene strafrechtliche Anzeige wäre auch eine Möglichkeit, allerdings sind dort die Erfolgschancen aufgrund des Themas (Ermittlung des Täters bei Gutscheineinlösung ist aufgrund der einfachen Möglichkeit zur Anonymisierung schwierig) gering und die Ermittlungen dürften sehr lange dauern. Außerdem steht der Wunschgutschein GmbH die Anzeige gegen die Person, die die Codes vor mir eingelöst haben soll, natürlich ebenfalls offen und die können das im Anschluss gerne machen.
Ergänzung: Übrigens liegen der Verbraucherzentrale mehrere solcher Fälle vor – allerdings noch nicht in der Menge, in der es für ein größeres Vorgehen relevant wäre.
Interessantes Thema!
Da ich schon viele WGs eingelöst habe, auch mehrfach in Kontakt mit dem Support stand und aus dem IT Bereich komme, möchte ich gerne ein paar Infos dazu beisteuern.
Vorab ich hatte keine Probleme mit bereits eingelösten GS.
Zu den WG Karten/Codes:
Es fehlen hier definitiv weitere Sicherheitsmerkmale.
Es ist ein loser Code und die Seriennummer.
Zwar dürfte das Codeformat der WG Codes ausreichen um zu vermeiden, dass diese per brute force erraten werden und sie sind auch besser als ROSSMANN Codes, aber da ist noch viel Luft nach oben.
Zudem kann der WG Support in einzelnen Fällen nach der Seriennummer und/oder einem Bild der WG Karte fragen.
Das ist okay nur sollte man evtl beim Einlösen einen Hinweis darauf zeigen, denn ich kann mir vorstellen, dass manche User die Karten entsorgen bevor die Mails mit den Codes ankommen.
Hier könnte man die Usability etwas verbessern.
Zum WG Support:
Mal abgesehen von den sinnlosen temporären Sperrungen von Guthaben usw. die aber evtl rechtlich bedingt passieren, bin ich mit WG und vor allem mit dem Support sehr zufrieden.
Dennoch wird das Thema Sicherheit meiner Meinung nach vernachlässigt:
Gibt es ein Problem mit einem Code, muss man diesen vollständig dem Mitarbeiter nennen oder auch per Mail schicken.
Denkbar wäre hier zB die Nennung der Mail unter der man den Code eingelöst hat bzw versucht hat einzulösen + die letzten drei Stellen des Codes.
(Wenn man dem Support von dieser Mail aus schreibt sogar nur die Nennung der letzten 3 Stellen.)
Mitarbeiter sollten die kompletten Codes nur in Ausnahmefällen wissen!
In Fällen in denen Gutscheine der Einlösepartner zunächst nicht ankommen werden sie teilweise später per Mail und im Klartext verschickt.
(Und ja ich weiß die GS Mails lassen sich auch automatisch erneut senden dafür hat WG eine Eingabemaske, funktioniert jedoch in manchen Fällen nicht.)
Das bedeutet für den User konkret:
Der WG Mitarbeiter kennt:
- Den vollständigen WG Code
- Den vollständigen Code des Einlösepartners
... Und wer weiß was der WG Support ohne zutun von Nutzern einsehen kann hier könnten sich weitere "Lücken" zeigen.
Ganz ganz dummes Beispiel:
Ein Kumpel hat vor zig Jahren mal bei Aral an der Tanke gearbeitet.
Damals konnte man eine Liste der dort gekauften und nicht eingelösten Tankgutacheine einsehen.
An den richtig alten wurde sich dann einfach bedient. Verifizieren kann ich diese Aussage natürlich nicht, aber ich denke ihr wisst, worauf ich hinaus möchte.
Soll heißen WG sollte hier nachbessern und das prüfen.
Natürlich ist es ebenso denkbar wie andere User bereits beschrieben haben:
Lücke in Kassensystem eines Supermarktes, Betrüger, die die Codes vorab durch Durchleuchten der Karten sehen können o.ä.
Das ist hoffentlich die Quelle des Problems!
Nachtrag:
Außerdem stimmt es eben nicht, dass es so schwer ist, die Einlöser solcher GS zu schnappen. Nur ohne Kooperation von WG selbst wird es eben besonders schwierig.
WG kann sehr wohl herausfinden, ob es Muster bei den eingelösten GS gibt z.B. alle gekauft in Filiale xy und oder in bestimmtem Zeitraum.
Außerdem und da bin ich mir sehr sicher, loggt WG serverseitig jegliche Aktivitäten das bedeutet sie sehen zumindest folgendes in den Logs:
- Wurde ein Code bereits vor dem Kauf versucht einzulösen (eigentlich sollte man ihn dann sofort sperren...)?
- von welcher IP/Mail und zu welchem Zeitpunkt wurde der GS eingelöst
- von welcher IP/Mail und zu welchem Zeitpunkt wurde der GS dann nochmals vom echten Käufer versucht einzulösen
- wie viel Zeit verging zwischen Kauf und Einlösezeitpunkt
- to be continued
Wenn WG schon immer meint sich so an die Geldwäsche Gesetze halten zu müssen könnte man erwarten, dass sie solchen Betrugsfällen auch nachgehen. Es schädigt immerhin auch ihren Ruf...
Endlich hat Wunschgutschein nun die angeblichen Einlösezeitpunkte genannt. Ein Code wurde demnach bereits 4 Tage nach meinem Kauf eingelöst und der andere 10 Tage später. Allerdings wurden die Gutscheine erst einen Monat darauf geöffnet und freigerubbelt.
Somit können ein technischer Fehler und ein Man-in-the-Middle-Angriff auf mein Gerät schonmal ausgeschlossen werden.
und trotz nachweisbar vor dem kauf geschehener einlösung des gutscheins weigert sich wunschgutschein ersatz zu leisten?
Wo steht da vorher?
Ah ups, falsch gelesen. Bin ein bisschen dumm
Vllt das machen, was der Support sagt?!
Mit einer Zivilklage hat man zunächst die höhere Chance, das Geld wiederzusehen. Polizeiliche Ermittlungen sind in solchen Fällen meist sehr langwierig und verlaufen im Sande.
Hier wurde ja schon gut beschrieben, wie Täter aufgespürt werden könnten. Allerdings ist die Wahrscheinlichkeit auch sehr hoch, dass diese Wege zur Anonymisierung nutzen, was bei Gutscheinen und besonders dem System von Wunschgutschein sehr einfach ist.
Angenommen man setzt seine Rechte ggü. Wunschgutschein erfolgreich durch und erhält Schadensersatz, können diese ja immer noch die Täter anzeigen. Zumindest wäre es dann ein Umweg weniger, da der Wunschgutschein GmbH die Daten vorliegen, die sich die Behörden sonst erst einholen müssten.
Selbst wenn die Täter nicht ermittelt werden können so sollte WG dennoch herausfinden können wie die Codes abgegriffen werden konnten.
Danke, dass du uns auf dem Laufenden hältst @700