Der Toronto-Refund-Scam – oder: Wenn der Kunde sich selbst bedient

Prolog – Die Szene

Toronto, Juni 2025. Ein kleiner Imbiss namens „Souvlaki Hut“ im Stadtteil The Beaches. Es riecht nach Grillfleisch und Zwiebeln. Die Besitzerin steht an der Fritteuse, ihr Sohn Artie wischt gerade einen Tisch ab. Ein Mann betritt den Laden, bestellt freundlich, macht Smalltalk. Als die Mutter das Essen zubereitet, hebt der Kunde das Zahlungsterminal an – nur ein paar Zentimeter, gerade genug, um es ihren Blicken zu entziehen.

Er tippt. Drei Sekunden. Vielleicht vier.

Dann stellt er das Gerät zurück, bedankt sich und geht. Kein Souvlaki. Kein bezahlter Betrag. Aber auf dem Konto des Ladens werden später 2.000 Dollar fehlen. Kein Einbruch, kein Raubüberfall, kein geknackter Code aus einem Keller in Osteuropa. Nur ein Mann, ein Terminal und ein Passwort, das seit dem Auspacken des Geräts niemand geändert hatte .

Der Mensch – Der Täter und sein Gegenüber

Wer war dieser Mann? Die Polizei von Toronto hat mehrere Fälle nicht zweifelsfrei miteinander verbinden können, aber die Methode ist immer gleich . Es sind keine Hacker im klassischen Sinne. Es sind keine Leute, die nachts im Dunkeln mit Schraubenziehern an Leitungen klemmen. Es sind dreiste Psychologen, die verstanden haben, dass die größte Sicherheitslücke nicht in der Software liegt – sondern im Alltag.

Ihr Gegenüber sind Menschen wie Shiro Maruo, der einen kleinen Blumenladen betreibt. Zwei Männer kamen herein, taten interessiert an einem Blumenstrauß, stellten Fragen, lenkten ab. Keine zwanzig Minuten später bekam Maruo eine E-Mail von seinem Zahlungsdienstleister Clover: Der Manager-Code seines Terminals wurde geändert, eine Rückerstattung über 2.000 Dollar wurde durchgeführt. Die Männer hatten sein Gerät blitzschnell gegen ein mitgebrachtes, präpariertes ausgetauscht .

Maruo ist kein Technikfeind. Er hat ein Geschäft, er will seinen Kunden einen schnellen Service bieten, also steht das Terminal griffbereit auf der Theke. Wer denkt schon daran, dass der freundliche Herr, der nach den Öffnungszeiten fragt, in Wirklichkeit ein paar Tasten drückt, um sich das Portemonnaie zu füllen?

Das Problem – Wenn der Feind im Gerät steckt

Das Problem ist so alt wie die Technik selbst: der Werkszustand. Jedes dieser Zahlungsterminals – egal ob von Clover, Moneris oder einem anderen Anbieter – wird ab Werk mit einer Grundeinstellung ausgeliefert. Und zu dieser Grundeinstellung gehört ein Standard-Passwort. Nichts Komplexes, nichts Individuelles. Ein Schlüssel, der in tausende Schlösser passt.

Claudiu Popa, ein Cybersecurity-Experte, der seit Jahrzehnten Firmen berät, brachte es für den kanadischen Sender CTV auf den Punkt: „Die meisten dieser Terminals werden ab Werk mit Standard-Passwörtern ausgeliefert. Wenn der Händler die nicht ändert, ist das, als würde man sein Haustürschloss mit Werksschlüssel betreiben – und den dann auch noch an die Kette hängen“ .

Die Betreibergesellschaften wie Clover oder Moneris verweisen gerne auf ihre Dokumentationen und die Aufforderungen an die Händler, die Passwörter zu ändern. „Wir haben sie ja informiert“, ist der Tenor. Und ja, rein formal stimmt das. Nur: Wer liest schon das Handbuch eines Kassenterminals, wenn der Laden voller Kunden ist? Wer denkt beim Auspacken eines Geräts daran, dass der Kunde von der Straße in den nächsten Minuten vielleicht versuchen wird, die Kasse zu knacken? Die Realität sieht aus wie bei Barbara Deangelis von „Pippins Tea Company“. Ein junger Mann kam herein, wollte angeblich eine Teekanne für seine Großmutter kaufen. Stattdessen erstattete er sich selbst 4.900 Dollar . Es fiel niemandem auf. Bis es zu spät war.

Der Bau / Die Funktionsweise – So einfach ist das

Im Fall des „Souvlaki Hut“ lief es so ab: Der Täter nahm das Terminal, navigierte durch das Menü – das ist oft kein Hexenwerk, die Oberflächen sind für den schnellen Service ausgelegt – und wählte die Funktion „Manuelle Rückerstattung“. Dann gab er den Betrag ein und bestätigte mit dem Standard-Passwort, das er entweder kannte oder das der Händler nie geändert hatte .

Das System denkt nicht. Es fragt nicht: „Bist du wirklich der Besitzer?“ Es fragt nicht: „Warum erstattest du dir gerade Geld, während der Ladeninhaber dir den Rücken zudreht?“ Es fragt nur nach dem Passwort. Und wenn das passt, macht es, was es soll.

Noch raffinierter ist die zweite Masche: der Gerätetausch. Hier kommt ein Täter mit einem eigenen, präparierten Terminal in den Laden. Er hat es vielleicht zu Hause schon so konfiguriert, dass alle Transaktionen auf sein Konto laufen. Ein kurzer Moment der Unachtsamkeit – der Verkäufer dreht sich um, um die Blumen zu holen – und das Gerät auf der Theke ist ein anderes. Der Kunde geht, ohne zu kaufen, aber das neue Terminal bleibt. Es nimmt Zahlungen entgegen, leitet sie aber um. Entdeckt wird das oft erst Tage später .

Lori Van Soelen, die Managerin der Beach BIA (Business Improvement Area), bestätigte, dass in ihrem Viertel innerhalb kurzer Zeit bis zu sieben Geschäfte auf diese Weise bestohlen wurden . Sieben Läden, in denen niemand das Passwort geändert hatte. Sieben Läden, in denen niemand damit rechnete, dass „Kunde sein“ auch „Täter sein“ bedeuten kann.

Das Herzstück – Die eine Idee, die alles verändert

Das Geniale an diesem Betrug ist seine Banalität. Es gibt hier keinen Zero-Day-Exploit, keine verschlüsselte Kommunikation, die geknackt wurde, keinen Hacker in einer Hoodie, der im Darknet die Zugangsdaten verkauft. Der Angriff nutzt die alltäglichste Schwachstelle der Menschheit: die Annahme, dass schon nichts passieren wird.

Die Hersteller haben das System so konstruiert, dass es einfach ist. Einfach für den Händler, der schnell mal eine Rückerstattung geben will. Einfach für den Angestellten, der nicht erst den Manager rufen will. Aber diese Einfachheit ist eine Falle. Die Clover-Terminals bieten zum Beispiel die Möglichkeit, Rückerstattungen zu deaktivieren oder nur mit Zwei-Faktor-Autorisierung freizugeben. Das steht in den Handbüchern. Aber es ist nicht der Standard. Der Standard ist: Alles darf, nichts muss .

Artie Jorgaqi, der Sohn des „Souvlaki Hut“-Besitzers, sagte später: „Wenn wir gewusst hätten, dass wir einen Limit für Rückerstattungen einstellen müssen, hätten wir das gemacht. Aber das sollte eigentlich der Anbieter von Haus aus besser absichern. Vielleicht ein Limit, oder eine Zwei-Schritt-Bestätigung“ .

Da ist er wieder, der ewige Konflikt zwischen Usability und Sicherheit. Der Hersteller will, dass sein Gerät sich leicht bedienen lässt, sonst kauft es keiner. Der Händler will, dass es funktioniert, sonst wird der Kunde ungeduldig. Und der Dieb will nur eines: den Moment, in dem beide nicht aufpassen.

Das Ende – Triumph der Dreistigkeit

Was wurde aus den Betroffenen? Shiro Maruo von „NaNa Florist“ hatte Glück im Unglück. Er bemerkte den Betrug schnell, rief sofort bei Clover, seiner Bank und der Polizei an. Die 2.000 Dollar wurden eingefroren, bevor der Täter sie abheben konnte. Clover kündigte an, das Geld zu erstatten .

Auch Barbara Deangelis von „Pippins Tea Company“ bekam ihr Geld von Moneris zurück. Die Firma betonte zwar, dass ihre Geräte keinen „Standard-Rückerstattungscode“ hätten, und verwies auf die Pflicht der Händler, die Geräte wie Bargeld zu behandeln – also sicher und unzugänglich aufzubewahren .

Aber nicht jeder hat dieses Glück. Vincent Kang, Franchise-Direktor von „Halibut House Fish and Chips“, berichtete, dass vier ihrer 43 Filialen in kurzer Zeit bestohlen wurden. Gesamtschaden: etwa 6.000 Dollar, plus 3.000 Dollar für die gestohlenen oder ausgetauschten Terminals . Für eine kleine Ladenkette ist das ein Schlag. Für einen einzelnen Blumenladen wäre es die Existenzgefährdung.

Die Toronto Police warnt mittlerweile flächendeckend. Ihre Empfehlungen klingen, als kämen sie aus einem Sicherheitskurs für Anfänger: Terminals außerhalb der Reichweite von Kunden aufbewahren, Passwörter regelmäßig ändern, Geräte nie unbeaufsichtigt lassen . Deputy Mayor Mike Colle ging sogar von Tür zu Tür, klebte Aufkleber in die Fenster, um Diebe abzuschrecken: „Hier wurde das Terminal gesichert“ . Ein Ehrenmann. Aber auch ein Armutszeugnis für eine Industrie, die ihre Kunden mit unsicheren Geräten allein lässt.

Epilog – Was bleibt?

Es bleibt ein Gefühl der Wut. Nicht auf die Diebe – die wird es immer geben. Sondern auf diese seltsame Mischung aus Gleichgültigkeit und Verantwortungsdiffusion, die unsere technisierte Welt so anfällig macht. Die Hersteller sagen: „Der Händler muss das Passwort ändern.“ Der Händler sagt: „Das wusste ich nicht.“ Der Experte sagt: „Das Gerät hätte nie mit einem Standardpasswort ausgeliefert werden dürfen.“

Claudiu Popa brachte es in einem Interview auf den Punkt: „Wenn die Hersteller die Geräte ausliefern, sollten sie bereits gesichert sein. Die Rückerstattungsfunktion sollte deaktiviert sein, bis der Händler sie bewusst freischaltet. Stattdessen müssen wir jetzt die Händler erziehen, die einfach nur ihren Job machen wollen“ .

Und genau da sitzt der Frust. Es ist wie bei so vielen Dingen heute: Die Verantwortung wird nach unten delegiert, bis sie beim Letzten in der Kette hängen bleibt – beim kleinen Ladenbesitzer, der keine Ahnung von IT-Sicherheit hat, der einfach nur Blumen verkaufen oder Souvlaki braten will. Der muss jetzt nicht nur wissen, wie man Steuern berechnet und Mitarbeiter führt, sondern auch, wie man die Firmware eines Zahlungsterminals updated und Zwei-Faktor-Authentifizierung einrichtet.

Der Toronto-Refund-Scam ist ein Lehrstück in schlichter Techniksoziologie. Er zeigt, dass die größte Gefahr nicht in der Komplexität der Systeme liegt, sondern in der Annahme, dass andere schon für uns denken. Tun sie nicht. Die Hersteller denken an ihren Umsatz. Die Diebe denken an ihre Beute. Und der Blumenhändler? Der denkt jetzt zweimal nach, bevor er sein Terminal aus der Hand gibt. Oder er stellt es gleich ganz weg. Vielleicht ist Bargeld doch nicht so veraltet. Das lässt sich wenigstens nicht mit einem Standardpasswort klauen.