Essen/Oberhausen. . Vertrauen Sie Freunden auf Facebook? Klar. Und würden Sie Freunden dort ihre Handynummer geben und ihnen einen Dienst erweisen? Besser nicht! Auf Facebook kursiert eine Betrugsmasche, die das Vertrauen unter Freunden ausnutzt. Auch weil Facebook es Betrügern ziemlich leicht macht.
"Hallo Gib mal Deine Nummer". Claudia Schäfer (Name geändert) aus Oberhausen hat sich nichts dabei gedacht, als sie kürzlich auf Facebook diese Anfrage erhielt. Absender war eine Freundin. Die hatte Schäfer Minuten zuvor eine neue Freundschaftsanfrage geschickt. Wohl, weil sie ein neues Facebookprofil erstellt hatte, glaubte Schäfer. Sie bestätigte die Anfrage und schickte auch ihre Handynummer. Damit war sie fast in eine Falle getappt.
Polizeibehörden warnen vor "einer neuen, üblen Betrugsmasche von Internet-Kriminellen". Tatort ist Facebook. Das Tatwerkzeug heißt "Zong". Das ist ein Internet-Bezahlservice, bei dem man unter dem Dach der Ebay-Tochter PayPal per Handynummer Bezahlcodes für Online-Geldtransaktionen generieren kann. Das Geld wird dann vom Mobilfunkanbieter mit der nächsten Telefonrechnung eingezogen. Der Anbieter klingt seriös, der Service simpel und bequem. Nur: wer sagt, dass die Handynummer die eigene sein muss?
Betrüger wollen Zugriff auf ein Mobilfunkkonto erschleichen
Es waren vielleicht zwei Minuten vergangen, nachdem Claudia Schäfer in Oberhausen der vermeintlichen Freundin ihre Handynummer sendete. Dann erhielt sie per SMS diese Nachricht auf ihr Smartphone: "Zum Bezahlen von 28,31 Euro für ihren Service bei Paypal geben Sie bitte diesen Bezahlcode ein". Fast zeitgleich kam auf Facebook eine erneute Mitteilung ihrer Freundin: "Sms Bekommen Paypal". Kurz darauf dann diese Worte: "Sms Tan Code Geben bitte ?" Da merkte Claudia Schäfer auf.
"Die Masche schwappt mittlerweile auch in die deutsche Facebook-Community über", sagt Heiko Rittelmeier, IT-Forensiker aus Süddeutschland und Initiator des Internetportals computerbetrug.de. Opfer seien bis dato vor allem hierzulande lebende Migranten mit türkischen Wurzeln gewesen, sagt Rittelmeier. Nun werde der Kreis erweitert. Und Facebook öffnet dieser Betrugsmasche Tür und Tor.
Facebook-Freundin machte Druck - „Ich brauche den Code“
Claudia Schäfer wurde jedenfalls stutzig. Und verlangte via Facebook, dass die vermeintliche Freundin sie anruft. Als Antwort kam wieder nur eine Facebook-Nachricht: „Ich brauche den Code“. Doch den rückte Schäfer nicht raus. Statt dessen meldete sie sich bei der Freundin – die aus allen Wolken fiel, weil sie schon von gut 70 weiteren Facebook-Bekanntschaften angefunkt wurde. Alle sollten einen Bezahlcode weiterreichen.
Es geht um eine Art des Phishings, bei der Kriminelle TAN-Nummern ergaunern, die Zahlungsvorgänge authorisieren. Das Verfahren gilt eigentlich als sicher und wird auch beim Online-Banking eingesetzt. Dabei übermittelt die Bank bei jeder Transaktion individuell erstellte Zahlencodes, die per SMS an das Handy des Kunden geschickt werden. Kriminelle versuchen, durch Schadprogramme auf dem PC Bankdaten auszuspionieren. In "Zong-SMS"-Fall setzen sie auf die Leichtgläubigkeit ihrer Opfer.
Auch interessant
Täter nutzen das Vertrauen auf Facebook aus
„Wenn das auf dem Profil meiner Tochter passiert wäre, hätte ich den Code weitergeschickt“, ist sich Claudia Schäfer sicher. So viel weiß sie nun, nachdem sie bei der Polizei war: Die Kriminellen haben das Profil der Facebook-Freundin kopiert. Die Freundinnen haben umgehend Facebook angeschrieben – dort wurde die kopierte Seite inzwischen gelöscht, berichtet Schäfer. "Nutzer haben ein Anrecht darauf, dass Facebook solcherart kopierte Profile löscht", sagt der Kölner Anwalt für Internet-Recht Christian Solmecke. Auf Schadenersatz von Facebook brauche man sich jedoch keine Hoffnung machen, meint Solmecke.
Ohnehin sei dieser Betrugsmasche schwer beizukommen, sagt Anwalt Solmecke – auch „weil der Fall rechtlich knifflig ist“. Einerseits müsse man den Opfern vorwerfen, dass sie eine Mitschuld haben: „Sie waren zu leichtgläubig“. Bei einer Klage aber müsste man eine Mitschuld der Opfer ausschließen können. Zudem „werden hier verschiedene Vertragsverhältnisse berührt“, sagt Solmecke: Facebook, der Onlinebezahldienst, das Telekommunikationsrecht (siehe Infokasten auf der folgenden Seite). Und weil die ergaunerten Summen meist vergleichweise gering sind, lohne es sich kaum, dafür einen Anwalt einzuschalten, sagt Solmecke.
So leicht macht Facebook es den "Zong-SMS"-Betrügern
Warum das Ganze? Auch Claudia Schäfer fragt sich das. Es geht wohl um Geld für „Credits“ bei Online-Games, das sich Betrüger auf diesem Wege erschleichen, vermutet die Polizei. Spuren zu den "Zong-SMS"-Tätern führten vor allem in die Türkei, sagt Heiko Rittelmeier. Die Betrugsmasche verlange keine ausgeprägten Computerkenntnisse - das macht sie so simpel: "Die Masse der Fälle hat nichts mit Computer-Hacking zu tun", sagt Rittelmeier. Denn die Kriminellen kopieren einfach fremde Facebook-Profile. Das gehe sogar von Hand, sagt Rittelmeier, und sei "eine Sache von nur wenigen Minuten Arbeit". Täter legten einfach ein identisches Profil an und kopierten alle Bilder aus der Vorlage. "Dann werden neue Freundschaftsanfragen verschickt, meist unter dem Vorwand man habe die Zugangsdaten verloren". Und der Betrug nimmt Fahrt auf. Rittelmeier berichtet von einem Opfer, das auf diesem Wege mehr als 100 Bezahlcode-SMS weitergeleitet habe.
So schlicht die Masche klingt, so simpel ist es für Facebook-Nutzer, sich vor solchen Attacken zu schützen, sagt Heiko Rittelmeier: "Für die Täter sind nur Facebook-Nutzer interessant, die eine öffentliche Freundesliste haben". Heißt: Wer die Privatsphäre-Einstellungen seiner Freundesliste auf "Nur Freunde" oder besser "Nur ich" setzt, ist vor Angriffen geschützt - "zumindest ist das Profil dann nicht mehr interessant, um kopiert zu werden", sagt Rittelmeier. Gefälschte Anfragen von anderen Freunden könnten natürlich immer noch kommen.
Vorsicht, Mitschuld! Betrug per PayPal oder "Zong-SMS"
Wer einen TAN-Code für eine Zahlungsanforderung an Dritte weiterreicht, handelt nach Einschätzung von Markus Feck, Experte für Onlinebanking bei der Verbraucherzentrale NRW, rechtlich "grob fahrlässig".
Das gilt nicht für alle "Phishing"-Methoden: Beim Online-Banking etwa merken Kunden in der Regel nicht, dass ihrer Bankdaten ausspioniert werden. Bei der Betrugsmasche mit "Zong-SMS" geben sie hingegen "bewusst eine Zahlung frei", die dann über die Telefonrechnung abgerechnet wird. Die Folge: "Geschädigte haben keinen Anspruch, dass ihre Bank die Transaktion rückabwickeln muss".
Opfer der "Zong-SMS"-Masche könnten jedoch versuchen, die Zahlung gegenüber dem Telefonanbieter abzulehnen. Markus Feck: "Dazu müsste man die Einzugsermächtigung stoppen und bei der belasteten Telefonrechnung nur die tatsächlichen Telefonkosten an den Anbieter überweisen. Dann hänge es davon ab, ob der Drittanbieter, der die Zahlung in Rechnung gestellt hat, das Geld tatsächlich einfordert.
Welche Daten noch "sensibel" sind: Haben Betrüger mit der Kreditkartennummer, deren Ablaufdatum und dem Besitzernamen eingekauft, können Opfer derartige Lastschriften zurückweisen, sagt Feck: Das Risiko dafür, dass solche Daten durch Dritte abgegriffen werden, liegt dabei beim Onlinehändler. Alleine mit Geburtsdatum und Namen ließen sich online keine Geschäfte abschließen, sagt Feck. Mit Kontonummer, Bankleitzahl und Name jedoch sei das möglich. Aber auch hier hätten Opfer das Recht, diese Transaktionen rückgängig zu machen - binnen acht Wochen ab der Belastungsbuchung auf dem Konto. "Eine Begründung gegenüber der Bank", sagt Feck, "braucht man dabei nicht". (dae/WE)
"Zong-SMS"-Masche kursiert auch unter Handynutzern
Die Betrüger verbreiten ihre Masche indes auch unter Handynutzern. Ihnen wird dann meist per Anruf ein Bonus versprochen, angeblich im Auftrag des Telefonanbieters. Die Polizei berichtet von Fällen, in denen Handybesitzern am Telefon 120 Euro versprochen wurden, weil sie schon so lange ein so guter Kunde seien. Wieder erhalten die Nutzer dann per SMS eine TAN-Nummer, die sie weitergeben sollen, um den Bonus zu erhalten. Aus dem wird dann natürlich nichts, im Gegenteil: Die Summe erscheint auf der nächsten Telefonrechnung – allerdings als Zahlungsposten.
Auch Tage nach dem Vorfall auf Facebook fühlt sich Claudia Schäfer noch flau. Den Code hat sie zwar nicht weitergeleitet - aber die Täter haben jetzt ihre Handynummer. Ob sie damit Böses anstellen können? "Geld erschleichen können Sie alleine mit der Nummer nicht", meint Anwalt Christian Solmecke: Die Masche funktioniert nur, indem man den Bezahlcode weiterleitet. Bei der Verbraucherzentrale mahnt Internet-Expertin Sabine Petri deshalb zur "Datensparsamkeit": Schon eine öffentlich sichtbare Emailanschrift sei eine sensible Datenquelle. Weil Kriminelle damit unter Umständen schon Online-Einkäufe auf fremde Kosten tätigen könnten - sofern auch das Geburtsdatum des Opfers vorliegt. Oft sind diese Daten auf Facebook-Profilen für Jedermann einsehbar.
"Seien Sie sensibel" im Umgang mit Daten
Ob bei "Zong-SMS", Enkeltrick, Schockanrufen oder Nigeria-Connection: Meist ist es Leichtgläubigkeit, die Menschen zu Betrugsopfern macht. In punkto Bezahlcode-Betrug rät die Polizei deshalb:
- Seien Sie sensibel, wenn Sie unbekannte Nachrichten erhalten und
- Leiten Sie keine Bezahlcodes, die sie erhalten, weiter.
- Sollten Sie eine solche Kurznachricht erhalten, nehmen Sie persönlich mit ihrem Mobilfunkanbieter Kontakt auf.
- Nutzen Sie im Zweifel die Möglichkeit, ihren Vertrag so zu ändern, dass Abbuchungen anderer Anbieter nicht mehr möglich sind.
- Geben Sie im Internet nicht mehr Daten von sich Preis, als zwingend notwendig. Handeln Sie insbesondere restriktiv, wenn es um Adress-, Konto- oder Telefondaten geht.
- Wählen Sie sichere Passwörter und geben Sie diese niemals an Dritte weiter.
- Überprüfen Sie Ihre Privatsphäre-Einstellung auf Facebook. Die Sichtbarkeit der Freunde-Kontakte sollte auf "Nur ich" gestellt werden.
- Wenn Sie selbst Opfer eines solchen Betruges geworden sind, wenden Sie sich umgehend an die Polizei und warnen Sie ihre Freunde vor dieser Masche.