Das hab ich nie bestellt!

„Schatzi, hast du was auf meinen Namen bestellt?“ Nein, das habe ich nicht, erkläre ich meiner Frau. Den Luxus-Onlineshop, von dem laut der Post-App auf ihrem Handy ein Paket zu uns nach Hause unterwegs ist, kenne ich nicht einmal. Sie selbst hat dort auch kein Kundenkonto. Klarer Fall, da stimmt was nicht. Noch verdächtiger ist die nächste Nachricht in der Post-App ein paar Stunden später: Das Paket wurde umgeleitet, und zwar zu einer gut 20 Kilometer entfernten Abholstation. Jetzt ist es amtlich: Hier betrügt jemand mit den Daten meiner Frau.

• Für dich interessant: Inhaftiert, versklavt, ermordet – weil sie „Ungläubige“ sind

Während ich noch darüber nachdenke, wie jemand es geschafft hat, nicht nur in ihrem Namen ein Paket zu bestellen, sondern auch noch in ihren Post- Account einzusteigen, um es umzuleiten, sitzt sie schon im Auto und rast wie die Feuerwehr zu besagter Abholstation, um die Sendung vor dem oder der Täter:in in die Hände zu bekommen. Es folgt ein Telefonmarathon mit dem Online-Shop und der Post, und das an einem Samstagvormittag.

Am Ende steht fest: Jemand hat mit dem Namen, dem Geburtsdatum und der Wohnadresse meiner Frau, aber einer anderen E-Mailadresse ein Kundenkonto angelegt und zwei Bestellungen auf Rechnung im Warenwert von insgesamt fast 1.000 Euro getätigt. Paket Nummer eins, das ein Parfum um 399 Euro enthält, hat meine Frau abgefangen und kann es gratis zurückschicken, nachdem sie glaubhaft versichert hat, dass sie es nicht gekauft hat. Paket Nummer zwei, eine Jacke um fast 600 Euro, kann noch vor der Auslieferung im Lager gestoppt werden. Somit beträgt unser Schaden die rund 3 Euro, die meine Frau mit dem Auto verfahren hat, und das Porto hin und zurück sowie den Handling-Aufwand für den Shop. Wäre der oder die Täter:in erfolgreich gewesen, hätte er oder sie beide Pakete gemütlich abgeholt, die per Mail verschickten Rechnungen ignoriert, und meiner Frau wäre irgendwann eine schriftliche Mahnung per Post ins Haus geflattert.

Ein fünf Jahre altes Datenleck

Es ist eine bestechend simple Betrugsmasche, für die es bloß ein bisschen Zeit und den Datensatz meiner Frau brauchte. Und der wurde, wie eine Abfrage auf der bereits von WZ-Redakteur Maximilian Hatzl in seinem Artikel dazu auf wz.at empfohlenen Website haveibeenpwned.com zeigt, vor fünf Jahren durch ein Datenleck gemeinsam mit 270 Millionen anderen erst verkauft und dann in einem Hacker-Forum veröffentlicht. Und ihr Passwort für die Post-App hat sie seither offenbar nicht geändert. Wozu auch? Man kann damit doch bloß die bestellten Pakete bei der Anreise beobachten. Dachten wir bisher.

Die Konsequenz, die meine Frau gezogen hat: Ihr Post-Account ist jetzt auf Multi-Faktor-Authentifizierung umgestellt. Und im Nachhinein hat sich die Post-App selbst sogar als echte Hilfe erwiesen. Denn wer weiß, ob sie sonst überhaupt auf den Betrug draufgekommen wäre. Laut Post könnte die App sogar bei entsprechender Verknüpfung der vorhandenen Daten Alarm geben, wenn ein Paket unter dem Namen meiner Frau direkt an eine andere Adresse bestellt würde.

„Innehalten kann vor Schaden bewahren“

Ich gebe ehrlich zu: Ich selbst bin keiner der rund 400.000 monatlichen Nutzer:innen der Post-App in Österreich. Mir genügt es, wenn ich vom Absender ein Mail mit der Info erhalte, dass ein (selten, aber doch) bestelltes Paket unterwegs ist. Zumal in diesen Info-Mails oft praktischerweise ebenfalls eine Sendungsnachverfolgung angeboten wird. Gerade hier lauert aber eine weitere Falle, erklärt Reinhard Nosofsky, Leiter des Büros für Betrugsermittlungen im Bundeskriminalamt. „Viele Daten bekommen Kriminelle durch Phishing.“ Heißt: Man bekommt ein E-Mail oder ein SMS, das täuschend echt aussieht und zu einer Website führt, die ebenfalls täuschend echt aussieht. Aber in Wahrheit ist alles fake und dient nur dazu, Daten zu erfassen, die dann von den Kriminellen entweder selbst für Betrügereien benutzt oder weitergegeben werden.

Besonders gefährlich wird es, wenn genügend Informationen vorhanden sind, um die potenziellen Opfer personalisiert anzuschreiben. „So einem E-Mail vertraut man dann auch eher, wenn man mit vollem Namen angesprochen wird“, meint Nosofsky. Die Zeiten plumper Phishing-Mails, in denen Betreff-Zeile und Haupttext oft nicht einmal zusammenpassten, sind jedenfalls längst vorbei. Und diese Massenmails sind so billig, dass es genügt, wenn von tausend Angeschriebenen eine:r drauf reinfällt. Manchmal bringen mich die Phishing-Versuche aber zumindest zum Schmunzeln. Zum Beispiel Anfang dieser Woche, als mein Sohn, der mir vorgeblich ein SMS schickte, laut dem er eine neue Telefonnummer habe, weil sein Handy kaputt sei, gerade neben mir saß und damit daddelte.

Wer etwa vorgeblich von der Post ein E-Mail bekommt, das zur Vervollständigung der Postadresse auffordert, weil es angeblich Probleme bei der Lieferung gibt, sollte deshalb nicht direkt den Link darin anklicken, sondern die Original-Website besuchen und dort mit der Sendungsnummer suchen. Seit kurzem läuft auch eine Welle von E-Mails, die angeblich von der Polizei stammen und einen Link enthalten, der zu einem zu überprüfenden amtliches Dokument führt - in Wirklichkeit öffnet man damit jedoch einen Trojaner.

Eine wichtige Empfehlung des Kriminalisten lautet deshalb: „Innehalten kann vor Schaden bewahren. Wenn man vor allem unerwartet so ein E-Mail oder SMS bekommt, sollte man nachdenken: Ist das überhaupt plausibel?“

Jede:r kann heute Daten abgreifen

Nosofsky rät, auch schon Betrugsversuche umgehend bei der Polizei anzuzeigen und/oder beim Kundenservice des betroffenen Unternehmens zu melden. Auch dann, wenn kein Schaden entstanden ist. Denn: „Auch die versuchte Straftat ist strafbar“, sagt Nosofsky. „Und der Täter hat wahrscheinlich auch schon woanders zugeschlagen. Vielleicht hat er ja gerade bei Ihnen einen Fehler gemacht und zum Beispiel versehentlich seine IP-Adresse verraten.“ Die Chance ist gar nicht so klein, weil zwar laut Nosofsky das Gros der einschlägigen Delikte von gut organisierten kriminellen Banden begangen wird, aber inzwischen kann so gut wie jede:r Datensätze abgreifen, die irgendwie ins Netz gelangt sind. Auch mein WZ-Kollege Maximilian Hatzl hat erst im Zuge seiner Recherche gelernt, wie das geht (und natürlich nie für illegale Zwecke genutzt!). Letztlich war es keine Hexerei, erzählt er mir. Es sind also vermutlich inzwischen auch viele Einzeltäter:innen aktiv, die einfach einmal ausprobieren, was geht. Vielleicht hat also bloß ein gelangweilter Teenager mit dem Post-Account meiner Frau herumgespielt.

Aus Nosofskys Sicht ist das wichtigste Instrument bei der Online- und Betrugskriminalität die Prävention. „Denn die Täterverfolgung ist möglich, aber oft extrem schwierig, weil bei dieser Form der Kriminalität keine Tatortnähe nötig ist. Die Täter sitzen oft in Ländern, wo wir vielleicht gar keine Handhabe gegen sie haben.“ Vielleicht haben sich das auch die vier verschiedenen Polizeibeamten auf vier verschiedenen Dienststellen gedacht, die meine Frau und ich nach dem Betrugsversuch mit dem Wunsch nach einer Anzeige konfrontiert haben. Sie antworteten nämlich alle sehr ähnlich: „Wenn Ihnen kein Schaden entstanden ist, zahlt sich eine Anzeige gar nicht aus. Da können wir eh nichts machen.“ Und das Post-Kundenservice hat zwar die Sendungsnummer dankend aufgenommen, die Mitarbeiterin hat aber gleich dazugesagt: „Da wird die Polizei nicht viel tun können.“ Unser:e Betrüger:in dürfte also ungeschoren davonkommen. Und das Katz-und-Maus-Spiel mit der Polizei geht weiter.

Hier geht’s zu den guten Nachrichten:

Na gut

Der Newsletter mit den guten Nachrichten: Kleine Geschichten über Fortschritte und Erfolg.

Jeden Mittwoch