Für mich ganz persönlich war das Internet bis gestern ein vermeintlich sicherer Raum. Noch nie hatte ich Ärger mit falsch gelieferter Ware, beschädigten Lieferungen oder unberechtigt abgebuchten Zahlungen oder gar Betrug. Dabei gäbe es Gelegenheit genug. Ich wickele mein halbes Leben inklusive sehr viel Zahlungsverkehr online ab.
Gestern wurde ich dann wohl in einer Mischung aus Selbstüberschätzung und geistiger Umnachtung auf allen falschen Füßen gleichzeitig erwischt. Am Ende dürfte mich das gut 300 Euro gekostet haben. Als Entschuldigung, dass ausgerechnet mir – dem vermeintlichen Experten – das in dieser Dimension zustößt, kann ich nur vorbringen, dass ich unter großem zeitlichen Druck stand und durch eine höchst zufällige Konstellation Vertrauen entstehen konnte.
Alles begann vor ein paar Tagen mit einer Freundschaftsanfrage eines hoch geschätzten Kommunalpolitikers aus Schortens (Peter Torkler). Im Nachhinein erinnere ich mich, dass ich kurz stutzte. Mit Peter Torkler glaubte ich längst und lange befreundet zu sein. Leider bin ich der Sache nicht auf den Grund gegangen. Mit dem echten Peter Torkler war und bin ich nämlich gerne auf Facebook befreundet. Die neuerliche Anfrage kam von einem offenbar ausreichend gut nachgestellten Profil.
Dieses Profil – der vermeintliche Peter Torkler – fragte mich gestern via Facebook-Chat nach meiner Telefonnummer. Meine Mobilfunknummer ist kein Geheimnis. Sie steht seit Jahren an tausend Stellen im Internet herum. Natürlich habe ich sie im Chat schnell weitergegeben. Zumal – und hier kommt der fatale Zufall – es durchaus im Bereich des Möglichen war, dass Herr Torkler am Abend die gleiche Veranstaltung in Jever besuchen könnte wie ich, und er mich insofern etwas fragen wollte.
Diese Annahme muss bei mir ein Grundvertrauen geschaffen haben. Gepaart mit großer Hektik – ich hatte noch 20 Minuten bis zum nächsten Termin, musste noch duschen und eine Mail zu Ende tippen – habe ich wie in Trance alle offensichtlichen Warnsignale verpasst.
Auf dem iPhone poppte eine SMS mit dem Absender paypal auf. Inhalt: Ein vierstelliger Code zur Freigabe einer Zahlung über einen mittelgroßen Betrag. Ich glaube, ich habe den Code ohne jedes Zögern per Chat weitergegeben. Auch weitere Codes, die per SMS reinkamen und via Chat freundlich angefragt wurden, tippte ich fleißig ein.
Fragt mich bitte nicht, warum mich Warnsignale, wie knappes Deutsch, Tippfehler und SMS mit Zwischenständen über wachsende Gesamtbeträge nicht haben abbrechen lassen. Zum Glück war das Fenster bis zum Termin bald so knapp, dass ich einfach den Rechner zuklappte.
Ich weiß, dass ich mir die gesamte Zeit sicher war, dass mich die ganze Sache persönlich gar nicht treffen könnte. Was sollte jemand schon mit nackten Zahlencodes anfangen können?
Mulmig wurde mir erst, als sich das Profil ohne jede Erklärung, Dank oder Ähnlichem später erneut meldete. Das passte nun wirklich nicht mehr zu Herrn Torkler.
Auf dem Weg Termin habe ich zunächst mit Peter Torkler telefoniert. Der wusste bereits von dem Fake und warnte davor auf seinem echten Profil. Danach habe ich mich in die Telekom-Wartschleife gehängt. Nach 15 Minuten war eine freundliche Beraterin in der Leitung, die meine Schilderung des Falls direkt in den Zusammenhang mit den sogenannten Diensten für Drittanbieterinnen brachte. Mehr als die Dienste zu sperren, konnte sie allerdings nicht für mich tun.
Ein dritter Anruf galt einer 0800-Nummer, die in den SMS von paypal auftauchte. Ein freundlicher Mitarbeiter des Paypal Carrier Payment-Dienstleisters Zong konnte mich anhand meiner Telefonnummer erst mal über das Ausmaß des Schadens informieren konnte. Er hat mir zudem ausführlich den Mechanismus erklärt und den Vorgang für eventuelle polizeiliche Ermittlungen archiviert. Rückbuchen konnte auch er das Geld nicht. Die Zahlungen werden unmittelbar veranlasst und sind nur bei der letzten Zahlungsempfängerin einklagbar. Die jedoch herauszufinden, ist den Ermittlungsbehörden vorbehalten. Mit großer Wahrscheinlichkeit sitzt sie im Ausland. Und zwar leider nicht in der EU. Vielleicht sind die Täterinnen auch nicht die unmittelbaren Zahlungsempfängerinnen, sondern setzen die Beträge bspw. beim Online-Poker ein und spekulieren nur auf die Gewinne.
Die Dienste für Drittanbieterinnen sind eine eigentlich sehr praktische Einrichtung. Eine Anbieterin virtueller Leistungen – bspw. einer elektronischen Fahrkarte oder eines Tools innerhalb eines Online-Spiels – fordert über die an die SIM-Karte gebundenen Dienste eine Zahlung an. Freigegeben wird die Zahlung mittels eines Codes, der per SMS an die jeweilige SIM verschickt wird. Das Verfahren ist so lange ziemlich sicher, wie man im Besitz seiner SIM-Karte ist und man sich nicht von Betrügerinnen Mobilfunknummern und Codes abluchsen lässt. Aber eben nur so lange.
Ich wusste, dass es die Dienste gibt. Benutzt hatte ich sie noch nie. Danach gefragt, hätte ich wahrscheinlich unterstellt, dass die bei mir längst gesperrt sind. Waren sie aber nicht. Vielleicht eine weitere Erklärung für meine Arglosigkeit.
Was lernen wir daraus?
- Geht erst mal duschen.
- Schaut Euch Facebook-Profile genau an. Bevor ihr sie bestätigt. Und danach am besten auch noch einmal.
- Seid misstrauisch. Auch bei Facebook-Chats mit Freundinnen. Sind sie es wirklich?
- Achtet auf Warnsignale: Schlechtes Deutsch und viele Tippfehler können in der Sorgfalt Eurer Freunde beim Chatten begründet sein. Vielleicht kann das (Fake-) Gegenüber aber auch einfach Eure Sprache nicht.
Auch SMS, die Euch über die Buchung erheblicher Summen informieren, könnten einen ernsten Hintergrund haben. - Lasst Eure Dienste sperren, wenn ihr sie – wie ich – überhaupt nicht braucht.
Abschließend: Der echte Peter Torkler ist an der ganzen Sachen komplett unschuldig. Er hat sich vorbildlich verhalten.
Facebook könnte man fragen, warum solche offensichtlichen Fake-Profile nicht auffallen bzw. nicht schneller gesperrt werden. Das Profil ist trotz Meldung nach wie vor aktiv. Die Telekom könnte angesichts solcher Vorgänge mal darüber nachdenken, Dienste nur auf Wunsch der Kundinnen frei zu schalten. Und die Paypal-Partnerin Zong könnte (noch) bessere Mechanismen entwickeln, die Nutzerinnen von Diensten aktiv vor hohen Abbuchungen via Telefonrechnung zu warnen.
Mir darf so etwas trotz allem nicht passieren. Viele andere haben weit weniger Erfahrung und tappen immer mal wieder in solche Fallen.
Bildquelle: „BUFFALO159“ von Da – Eigenes Werk. Lizenziert unter CC BY 2.5 über Wikimedia Commons.
Shit happens. Kopf hoch, es kommen auch wieder weniger gebrauchte Tage. Ich begrüße es, dass auch Experten nicht von allem befreit sind, was evtl. für eine höhere Aufmerksamkeit beim Nicht-Experten sorgt.
Lieben Gruß,
Kai
In der Konstellation hätte das wohl wirklich jedem passieren können. Wie Kai schon sagt: Shit happens. Ist zwar ärgerlich aber passiert.
Hast du versucht, die Zahlungen über PayPal zurückzuholen?
Also, mir wird nicht ganz klar, wie er/du auf die Sache hereinfiel, denn genauer wird/wirst er/du leider nicht. So, wie die bestehende Version der Schilderung ist, erscheint es wirklich als sehr dumm…wollte der Fake- Kontakt Geld haben oder wie?
P.S ich habe bereits mehrfach diese „Code per SMS“- Dienste genutzt und noch nie Probleme bekommen. Ich will damit nicht sagen, dass ich klüger bin oder so etwas und natürlich kann es Hunderte Male gut laufen und beim berühmten 101. nicht, aber, dass es nicht allein an diesen Diensten liegen kann.
Ist mir auch passiert, allerdings sind meine Alarmglocken beim erhalten der SMS angesprungen.
Passiert den Besten. Unter anderen mir http://www.franztoo.de/?p=1369
@Winnie: Nicht dumm, sondern unaufmerksam. Ich hatte schlicht nicht den Eindruck, dass es um mein Geld geht, sondern um sein eigenes. Ich kam mir vor wie der ehrenhafte Enabler, der ihm mal schnell ein paar Zahlungen ermöglicht, weil er gerade kein Handy zu Hand hat.
Das Risiko der Dienste der Drittanbieter liegt vor allem darin, dass sie kaum jemand aktiv kennt. Prinzipiell ist das Verfahren sicher.