Aktuell kursiert im Facebook-Messenger ein angebliches LIDL-Gewinnspiel, bei dem Nutzer über ein Glücksrad mehrere tausend Euro gewinnen sollen. Dabei handelt es sich jedoch um eine Betrugsmasche: Erst wird Vertrauen über ein bekanntes Profil aufgebaut, dann werden Codes, Links und Bankdaten abgefragt.
Die Aktion ist nicht echt. Der Link führt zwar mit „lidl“ im vorderen Teil der Adresse in die Irre, die eigentliche Domain lautet aber „teilnahme-aktion.at“. Diese Domain gehört erkennbar nicht zu LIDL.
Die Nachricht kommt scheinbar von Freunden
Der Einstieg wirkt harmlos. Eine Facebook-Freundin schreibt im Messenger, sie nehme an einem LIDL-Wettbewerb teil und brauche angeblich nur noch eine Stimme. Dafür soll zunächst die Handynummer weitergegeben werden. Kurz darauf folgt die Bitte, einen per SMS erhaltenen sechsstelligen Code zu schicken.
Genau dieser Schritt ist gefährlich. Ein SMS-Code ist kein Abstimmungszettel, sondern häufig ein Sicherheits- oder Bestätigungscode für einen Dienst. Im vorliegenden Fall war in der SMS von einem „Socios Sicherheitscode“ die Rede. Wer einen solchen Code weitergibt, kann unbeabsichtigt eine Anmeldung, Verknüpfung oder Aktion für eine fremde Person bestätigen.
Danach wechselt die Masche in die nächste Stufe. Der vermeintliche Kontakt schickt einen Link zum angeblichen Gewinnspiel, fordert zum Drehen eines Glücksrads auf und meldet anschließend einen hohen Gewinn. Im geschilderten Fall waren es 3.400 Euro. Als die Nutzerin misstrauisch wurde und nachfragte, ob es sich um Phishing handeln könne, wurde sie beruhigt: Alles sei „legal und sicher“, der Filialleiter sei ein enger Freund, die Daten würden vertraulich behandelt.
Gerade diese persönliche Ansprache macht den Betrug glaubwürdig. Die Nachricht scheint von einem bekannten Profil zu kommen, die Tonlage wirkt freundlich, und der Gewinn wird als bereits greifbar dargestellt.
Im uns vorliegenden Fall prüfte die Nutzerin über WhatsApp nach. Die echte Freundin erklärte, dass die Messenger-Nachrichten nicht von ihr stammten. Das spricht für ein kompromittiertes oder missbräuchlich verwendetes Facebook-Konto.
Die Domain täuscht LIDL nur vor
Der Link führt auf „lidl.teilnahme-aktion[.at]/wheel“. Auf den ersten Blick fällt „lidl“ in der Adresse auf. Entscheidend ist aber nicht der vordere Teil, sondern die eigentliche Domain: „teilnahme-aktion.at“.
Eine WHOIS-Abfrage nennt als Registrar Dynadot INC und als registrierende Organisation „AT Organization“. Auch die technischen Daten passen nicht zu einer erkennbar offiziellen LIDL-Aktion. Die Domain wurde am 1. Juli 2026 geändert beziehungsweise registriert.
Die Seite nutzt außerdem LIDL-Logos und ein Glücksrad, um Vertrauen zu erzeugen. Nach dem Dreh erscheint ein angeblicher Gewinn, im geschilderten Fall 3.400 Euro, in einem Test 4.000 Euro. Solche automatisch wirkenden Gewinnanzeigen sind ein bekanntes Muster bei Fake-Gewinnspielen.
Bankdaten braucht man für einen Gewinn nicht
Der entscheidende Bruch kommt nach dem angeblichen Gewinn. Nutzer sollen eine Bank auswählen und sich anschließend in eine nachgebaute Online-Banking-Seite einloggen. Dazu wird man auf gefälschte oder nachgebaute Loginseiten österreichischer Banken weitergeleitet.
Für eine Überweisung auf ein Konto muss sich der Empfänger nicht in ein fremdes oder vorgeschaltetes Online-Banking einloggen. Wer Geld überweisen will, braucht normalerweise eine IBAN, aber keinen Zugriff auf die Online-Banking-Zugangsdaten des Empfängers.
Die Abfrage von Verfügernummer, Benutzername, PIN oder Passwort ist daher kein Auszahlungsschritt, sondern ein Phishing-Angriff. Ziel ist offenbar, Bankzugänge oder weitere sicherheitsrelevante Daten abzugreifen.
Die Masche ist nicht neu
Ein sehr ähnlicher Ablauf wurde bereits bei einem angeblichen BILLA-Gewinnspiel beobachtet: Messenger-Nachricht von einem bekannten Profil, Telefonnummer, SMS-Code, Fake-Gewinnspiel, Glücksrad und anschließend Bankdatenabfrage. Nun wird derselbe Ablauf mit LIDL-Optik eingesetzt.
Das zeigt: Die Marke ist austauschbar. Betrüger nutzen bekannte Namen, weil sie Vertrauen schaffen. Ob BILLA, LIDL oder ein anderes Unternehmen genannt wird, ändert nichts am Grundmuster.

Was Betroffene jetzt tun sollten
Wer nur den Link geöffnet hat, sollte die Seite schließen und keine weiteren Daten eingeben. Wer einen SMS-Code weitergegeben hat, sollte den betroffenen Dienst kontaktieren. Im vorliegenden Fall wäre das Socios, weil der Code laut Screenshot von dort stammte.
Zusätzlich sollten Betroffene die Mobilfunkrechnung kontrollieren und beim Anbieter eine Drittanbietersperre einrichten lassen. Wurden Bankdaten, PINs, Passwörter oder Verfügernummern eingegeben, sollte sofort die Bank kontaktiert werden. Das Konto sollte geprüft, Zugangsdaten sollten geändert und mögliche Sperren veranlasst werden.
Der betroffene Facebook-Kontakt sollte sein Konto absichern, das Passwort ändern, aktive Sitzungen prüfen und Kontakte warnen. Der Chatverlauf, die SMS und die besuchten Seiten sollten als Screenshots gesichert werden.
Warum die Masche funktioniert
Der Betrug kombiniert mehrere psychologische Hebel. Die Nachricht kommt scheinbar von einer bekannten Person. Der angebliche Gewinn erzeugt Hoffnung. Der Ablauf ist schnell, freundlich und wird mit Aussagen wie „keine Sorge“ oder „völlig sicher“ begleitet.
Gerade diese Mischung ist typisch: Vertrauen, Zeitdruck, bekannte Marke und technische Nachahmung. Nutzer sollen nicht lange prüfen, sondern Schritt für Schritt weitermachen.
Bewertung: Betrügerisch. Das angebliche LIDL-Gewinnspiel ist nicht echt. Es führt über eine täuschende Domain zu Code-Abfrage und Phishing von Bankdaten.
FAQ zum LIDL-Gewinnspiel im Messenger
Ist das LIDL-Gewinnspiel mit Glücksrad echt?
Nein. Der Link führt nicht zu einer offiziellen LIDL-Domain, sondern zu „teilnahme-aktion.at“. Die anschließende Abfrage von Bankdaten spricht klar für Betrug.
Warum ist der SMS-Code gefährlich?
Ein SMS-Code bestätigt häufig eine Anmeldung oder Aktion bei einem Dienst. Wer ihn weitergibt, kann damit ungewollt einem Betrüger helfen, einen Vorgang im eigenen Namen oder mit der eigenen Telefonnummer auszulösen.
Muss ich meine Online-Banking-Daten eingeben, um einen Gewinn zu erhalten?
Nein. Für eine Auszahlung braucht ein seriöser Absender keinen Online-Banking-Login des Empfängers. Die Abfrage von PIN, Passwort oder Verfügernummer ist ein Warnsignal.
Was tun, wenn ich meine Bankdaten eingegeben habe?
Sofort die Bank kontaktieren, Online-Banking sperren oder Zugangsdaten ändern lassen und das Konto prüfen. Zusätzlich sollten Screenshots gesichert und bei Schaden Anzeige erstattet werden.
Hinweis: Stand zum Veröffentlichungsdatum.
Verwendete Bilder, Screenshots und Medien dienen ausschließlich der sachlichen Auseinandersetzung im Sinne des Zitatrechts (§ 51 UrhG).
Teile dieses Beitrags können KI-gestützt erstellt und redaktionell geprüft worden sein.
(Mehr zur Arbeitsweise)
