Duisburg. . Ein Zwölfjähriger aus Duisburg ist im Internet Opfer von Online-Kriminellen geworden. Schaden insgesamt fast 1000 Euro, den seine Mutter wohl wird tragen müssen. Der Fall zeigt: die Abzock-Masche mit Zong-SMS findet nach wie vor Opfer. Und die Abzocker sind auf immer neuen Kanälen unterwegs.
„Gib Fremden nie unsere Handynummer“. So oder ähnlich hat es Simone Bergmann (Name geändert) ihrem Sohn eingetrichtert, wenn er im Internet unterwegs war. „Pass auf, was Du herunterlädst“, war wohl eine weitere Mahnung der Duisburger Mutter an ihren zwölfjährigen Sohn. Genützt hat es nichts. Unlängst wurde der Siebtklässler Opfer einer Abzockmasche, bei der es um Handynummern geht und um Codes des Bezahldienstes „Zong“.
Die Masche kursiert seit einigen Jahren. Doch was dem Sohn von Simone Bergmann passierte, zeigt: Zong-SMS-Abzocker sind auf immer neuen Kanälen unterwegs. Führen die Täter ihre Opfer bis dato meist mit kopierten Facebook-Profilen hinters Licht, wurde der Zwölfjährige nun in einem Chat beim Online-Telefondienst Skype ausgenommen, während eines Online-Games. „Das klingt nach einer neuen Masche“, sagt dazu die Polizei.
Zong-SMS sind eine Zahlungsanweisung - viele wissen das nicht
„Vor der Zong-SMS-Abzocke kann man gar nicht genug warnen“, meint Heiko Rittelmeier, IT-Forensiker aus Süddeutschland und Initiator des Internetportals computerbetrug.de. Die Masche tauche immer wieder in Wellen auf, sagt Rittelmeier. Aktuell mehrten sich in Deutschland wohl wieder Fälle. Wovor Rittelmeier warnt: "Nach wie vor wissen viele nicht, dass jeder in die Falle tappen kann und dass Zong-Codes Geld bedeuten".
Zong ist ein Internet-Bezahlservice, der zur Ebay-Tochter Paypal gehört und mittlerweile umbenannt wurde in „PayPal Buy with Mobile“. Per Handynummer lassen sich dort - wie beim Online-Banking mit mTAN-Verfahren - Bezahlcodes für Geldtransaktionen generieren. Das Geld wird dann über den Mobilfunkprovider von der nächsten Telefonrechnung oder vom Prepaid-Guthaben eingezogen. Das Handy gilt dabei als Sicherheit, weil die Zahlungsanweisung ausschließlich per SMS authorisiert werden kann. Doch Zong-SMS-Betrüger wissen, wie sie das System für ihre Zwecke zunutze machen können.
Auch interessant
Nutzer „pure :D“ hat über den Internet-Telefondienst Skype Bergmanns Sohn kontaktiert, weil er während eines Online-Games via Skype mit Mitspielern kommunizierte. Der Nutzer habe laut Bergmann den Duisburger Schüler wohl billig Waffen für das Online-Game versprochen. Bergmann hat den Skype-Chat abfotografiert. Darin ist zu sehen, wie ihr Sohn anfangs als potentielles Opfer ausgefragt wird: "hast du handy?". Er nennt sein Modell. Die Antwort: "cool". Die nächste Frage: "vertrag oder?" Antwort: "ja". Dann folgt eine exe-Datei, die der Zwölfjährige leichtsinnigerweise auf seinem Rechner öffnete. In der Folge sei ihr Sohn genötigt worden, seinem Chatpartner die Handynummer preiszugeben – letztlich nahm er die seiner Mutter - und per SMS empfangene „Zong“-Codes an den Fremden weiterzuleiten. Das lief dann über Stunden, in denen der Fremde Bergmanns Sohn zigmal per Skype anwählte.
„Ich war einem Herzinfarkt nahe“
Dass der Zwölfjährige mit jedem an den Fremden weitergeleiteten Code Geld vom Handykonto seiner Mutter abbuchen ließ, sei dem Jungen nicht klar gewesen, behauptet Simone Bergmann. Dass er mehrere Stunden in dem Chat blieb und nicht die Leitung kappte? Es war wohl einer Mischung aus Druck und Ködern geschuldet: So habe der angebliche Spiel-Partner anfangs gedroht, die exe-Datei würde den Rechner schädigen. Später ködert er den Zwölfjährigen mit dem Hinweis: "waffen laufen bald ab". Dann macht er auf Kumpel und verführt Bergmanns Sohn, den Kontakt zu halten: "Komm bitte um 20 Uhr on, ich habe einen Rudel erstellt, und du sollst co-leader werden". Etwas später heißt es dann "also wir zocken heute die nacht durch".
Was das auslöste, erfuhr Simone Bergmann erst einen Tag später über ihren Mobilfunkprovider Vodafone: Vodafone habe ungewöhnliche Transaktionen auf Bergmanns Handyrechnung beobachtet, teilte man ihr per SMS mit. Die Duisburgerin sei beim Lesern der Nachricht „dem Herzinfarkt nahe gewesen“, sagt sie: Mit insgesamt fast 1000 Euro sei ihr Handykonto mit der Zong-Masche belastet worden. Alleine knapp 540 Euro seien innerhalb von eineinhalb Stunden auf das Konto eines Spieleanbieters geleitet worden.
Muss sie das Geld zahlen? Hat sie eine Chance, es wiederzubekommen?
PayPal-Dienst lehnt Rückerstattung ab
Bei PayPal lehnt man Simone Bergmanns Forderung nach Rückabwicklung ab: Ihr Mobiltelefon sei ungesichert und unbeaufsichtigt gewesen, teilt der PayPal-Kundendienst der Duisburger Mutter mit. Dass ohne ihr Wissen auf Ihre Rechnung im Internet eingekauft wurde, sei "keine ideale Situation". Es liege aber "außerhalb unserer Verantwortung", wenn man sich nicht ausreichend vor Missbrauch schütze. Bergmann hätte bei ihrem Mobilfunkanbieter das mobile Bezahlen sperren können, teilt PayPal ihr mit. Dies sei ratsam, "besonders wenn sich Kinder im Haus befinden".
Simone Bergmann hat kurz nach der Tat Anzeige bei der Polizei gestellt und einen Anwalt eingeschaltet. Und sie hat die Zeitung informiert, „um auch andere vor dieser Masche zu warnen“. Denn vieles deutet darauf hin, dass man in einer Situation, wie sie der Duisburgerin nun widerfahren ist, auf den Kosten sitzen bleibt, meint Henry Krasemann, Jurist bei der Datenschutzbehörde in Schleswig-Holstein. Krasemann ist selbst aktiver Online-Gamer und beschäftigt sich mit dem Thema Recht in Onlinespielen.
Widerrufsrecht bei Online-Einkäufen hilft bei Zong-Abzocke nicht
Auch bei Einkäufen in Onlinespielen würde laut Krasemann das gesetzliche Widerrufsrecht bestehen; heißt: Bergmann könnte die Transaktionen innerhalb von 14 Tagen rückabwickeln. Doch das gelinge nur, wenn die gekauften Objekte – hier offenbar Credit-Points für Onlinespiele – noch nicht verbraucht seien. Zong-SMS-Abzocker allerdings sorgten dafür, ergaunerte Credit-Points rasch wieder zu Geld zu machen. Auch der Mobilfunkprovider könne für den Missbrauch des Handykontos eher nicht mit in die Verantwortung gezogen werden, meint Krasemann: „Sie können auch nicht die Post verklagen, wenn sie Drohbriefe zustellt“.
Vorsicht, Mitschuld! Betrug per PayPal oder "Zong-SMS"
Wer einen TAN-Code für eine Zahlungsanforderung an Dritte weiterreicht, handelt nach Einschätzung von Markus Feck, Experte für Onlinebanking bei der Verbraucherzentrale NRW, rechtlich "grob fahrlässig".
Das gilt nicht für alle "Phishing"-Methoden: Beim Online-Banking etwa merken Kunden in der Regel nicht, dass ihrer Bankdaten ausspioniert werden. Bei der Betrugsmasche mit "Zong-SMS" geben sie hingegen "bewusst eine Zahlung frei", die dann über die Telefonrechnung abgerechnet wird. Die Folge: "Geschädigte haben keinen Anspruch, dass ihre Bank die Transaktion rückabwickeln muss".
Opfer der "Zong-SMS"-Masche könnten jedoch versuchen, die Zahlung gegenüber dem Telefonanbieter abzulehnen. Markus Feck: "Dazu müsste man die Einzugsermächtigung stoppen und bei der belasteten Telefonrechnung nur die tatsächlichen Telefonkosten an den Anbieter überweisen. Dann hänge es davon ab, ob der Drittanbieter, der die Zahlung in Rechnung gestellt hat, das Geld tatsächlich einfordert.
Welche Daten noch "sensibel" sind: Haben Betrüger mit der Kreditkartennummer, deren Ablaufdatum und dem Besitzernamen eingekauft, können Opfer derartige Lastschriften zurückweisen, sagt Feck: Das Risiko dafür, dass solche Daten durch Dritte abgegriffen werden, liegt dabei beim Onlinehändler. Alleine mit Geburtsdatum und Namen ließen sich online keine Geschäfte abschließen, sagt Feck. Mit Kontonummer, Bankleitzahl und Name jedoch sei das möglich. Aber auch hier hätten Opfer das Recht, diese Transaktionen rückgängig zu machen - binnen acht Wochen ab der Belastungsbuchung auf dem Konto. "Eine Begründung gegenüber der Bank", sagt Feck, "braucht man dabei nicht". (dae/WE)
Opfer von Abzocke mit Zong-SMS tragen eine Mitschuld
Der Kölner Rechtsanwalt Christian Solmecke, spezialisiert auf Internet-Recht, sieht Opfer von Zong-SMS-Abzocke rechtlich in der Zwickmühle: Opfer seien „zu leichtgläubig gewesen“, man müsse ihnen deshalb eine Mitschuld vorwerfen. Zumal in Zong-SMS stets darauf hingewiesen werde, dass sie eine Zahlungsanweisung auslösten. Bei einer Klage jedoch müsste man eine Mitschuld der Opfer ausschließen können.
Auch, dass Simone Bergmanns Sohn noch minderjährig ist, "wirkt sich in diesem Falle nicht aus", sagt Solmecke. "Die Minderjährigkeit würde bei der Frage der Haftung aus einem Vertrag eine Rolle spielen. Beispielsweise in dem Fall, dass Minderjährige mit dem Handy ihrer Eltern teure Online-Spiel-Verträge abschließen". Bei der Abzocke mit den Zong-SMS handele es sich dagegen "schlicht um Betrug, ohne dass eine vermeintliche vertragliche Grundlage genutzt wird", sagt Solmecke. Sein Fazit: "Letztlich liegt hier ein grob fahrlässiges Verhalten vor, das am Ende die Mutter zu verantworten hat".
Und wie sieht es mit den Tätern aus?
Wie man sich vor Zong-Betrug schützen kann
Die Polizei mag die Chancen, die Täter zu fassen, nicht als groß bezeichnen. Selbst anhand der IP-Adresse liefen Ermittlungen leider oft ins Leere. Grund: „Oft stehen die Rechner oder Server im Ausland“. Zudem häuften sich Anzeigen zu Internet-Kriminalität, sagt Joachim Wawrziniewski, Sprecher der Polizei Duisburg. Zong-Abzocke tauche auch in Duisburg hin und wieder auf, bis dato aber noch nicht in Verbindung mit Onlinegames und Skype, wie bei Simone Bergmann.
Trotz allem bittet die Polizei Opfer von Internet-Kriminalität, Anzeige zu stellen. „Das hilft uns mindestens dabei, Informationen zu sammeln, um ein Lagebild zu erstellen“, sagt Wawrziniewski. Und die Polizei mahnt Opfer von Zong-SMS und anderer Abzocke möglichst viele Daten zu sichern. So hat Simone Bergmann den SMS-Verkehr abfotografiert und ihren Schriftverkehr mit den involvierten Spiele-Anbietern Area Games und MNO Games kopiert. Beim Onlinebezahldienst Paypal sei Geld von ihrem Mobilfunkkonto zu einem gewissen „Ben Handtke“ transferiert worden; „offenbar ein falscher Name“, hat Bergmann jedoch bei Paypal erfahren.
Beim Zong-SMS-Anbieter „PayPal Buy with Mobile“ sieht man Kunden vor Missbrauch ausreichend geschützt: „Eine Zahlung wird immer erst nach dem Ausführen von zwei Schritten vollzogen“: 1. Eingabe der Mobiltelefon-Nummer, 2. Eingabe der vierstelligen PIN zur Bestätigung der Zahlung. „Über diese zweistufige Vorgehensweise wird sichergestellt, dass die alleinige Kenntnis einer Mobiltelefon-Nummer nicht ausreicht, um eine Zahlung auszuführen“. Unter normalen Umständen mag das reichen, aber das System hat offensichtlich Lücken.
Wie kann man sich vor Zong-Betrug schützen?
Bleibt die Frage, wie man sich selbst am besten schützt: Computer-Betrug-Experte Heiko Rittelmeier rät als Erstes zu Misstrauen, auch gegenüber angeblichen Online-Freunden. Und bei allzu verlockenden Angeboten, etwa Vergünstigungen: "Wenn jemand mir zum Beispiel Credit Points für Onlinespiele anbietet, die weniger kosten als sie wert sind: da ist doch was faul", sagt Rittelmeier.
Beim Unternehmen PayPal weist eine Sprecherin darauf hin, dass Mobilfunkkunden für das Bezahlen mit dem Dienst "Tages- und Monatsgrenzen" bei ihrem Mobilfunkanbieter festlegen könnten. "Wer den Verdacht hat, Opfer eines Betrugs geworden zu sein, sollte sich zudem mit der Polizei in Verbindung setzen", rät PayPal. Im Fall von Simone Bergmann habe man ihre Handynummer für weitere Transaktionen gesperrt. Wer den Verdacht hat, betrogen worden zu sein, möge den Kundendienst ansprechen, telefonisch unter 0800/184-4216 oder per Mail: cp.support.de@paypal.com.
Heiko Rittelmeier empfielt unterdessen den konsequentesten Weg: Damit Dritte nichts vom Mobilfunkkonto abbuchen, kann man eine „Drittanbietersperre“ einrichten lassen; bei Vodafone "Sperre für Mobiles Bezahlen". Damit allerdings seien dann sämtliche Bezahlvorgänge über die Mobilfunkrechnung Tabu, wie etwa Parktickets oder Bahnfahrkarten per Handy. Im Fall von Simone Bergmann hätte sich die Abzocke mit einer Drittanbietersperre jedoch eindeutig verhindern lassen, sagt Heiko Rittelmeier: „Die Kriminellen hätten dann die Meldung bekommen, dass über die Handynummer keine Abrechnung möglich ist“.