×

우리는 LingQ를 개선하기 위해서 쿠키를 사용합니다. 사이트를 방문함으로써 당신은 동의합니다 쿠키 정책.


image

2020-7 Imported from YouTube, Identitätsdiebstahl beim Ticketverkauf - Online-Betrug mit Deinem Namen

Identitätsdiebstahl beim Ticketverkauf - Online-Betrug mit Deinem Namen

Stell dir vor, jemand gibt sich als du aus – ohne dass du es weißt.

Nutzt deinen Namen und deine Fotos, um andere Leute zu betrügen.

Und wenn irgendjemand glaubt, ich war das, dann könnte der auch einfach vor meiner Haustür

warten und mich bedrohen und sagen: „So, jetzt gib‘ mir mal mein Geld!“

Und das, obwohl du eigentlich nur Konzerttickets bei Facebook kaufen wolltest.

Dass ich mir damit mein eigenes Grab geschaufelt habe, war mir zu dem Zeitpunkt nicht klar.

Ich bin einer Betrugsmasche auf Facebook auf die Spur gekommen - mittendrin: eine deutsche Bank.

Die mussten dann 50.000 Kunden nochmal neu identifizieren.

Ich will wissen: Wie groß ist das Ganze?

Wer steckt hinter dem Betrug?

Und zwar schicke ich der jetzt einen Link.

Was die nicht weiß, ist, dass ich diesen Link präpariert habe.

Was war das denn bitte?

Oh man.

Auf die ganze Geschichte bin ich durch Sarah aus Bremen gekommen.

Hi Sarah!

Tim.

Freut mich!

Das ist Henrike, und das hier ist dein Mikro, damit wir dich auch hören.

Sarah wollte auf Facebook Konzertkarten kaufen.

Aber sie entdeckt mehrere Auffälligkeiten.

Keiner will die Tickets persönlich übergeben.

Also die meisten haben dann halt gesagt, dass sie aus irgendwelchen Gründen eben jetzt

nicht in der Stadt sind.

Daraufhin habe ich gefragt, ob es möglich wäre, die Tickets per Paypal zu bezahlen,

weil man da ja diesen Käuferschutz hat.

Und das wurde dann aber auch abgelehnt.

Und daraufhin haben mir dann einige angeboten – oder auch teilweise ohne Aufforderung

– Fotos geschickt, wo man die Person mit ihrem Personalausweis erkennen kann.

Stimmt, so hier.

Hattest du ja geschickt gehabt.

Genau.

Ich habe dann halt von allen Personen, die ich angeschrieben habe, diese Rückmeldung

bekommen, diese Fotos geschickt bekommen.

Von allen?

Ja.

Also alle, die ich angeschrieben habe, haben auf die selbe Weise mit mir geschrieben und

diese Fotos geschickt.

Und dann bin ich stutzig geworden.

Keine persönliche Übergabe, kein Bezahlen per Paypal - und ohne Nachfrage gibt's von

allen - Fotos vom Personalausweis.

Und auch sprachlich fallen die Profile auf.

Ich bin dann eben auch auf diese echten Facebook-Profile gestoßen und habe festgestellt, dass es die

Person dann ja halt irgendwie doppelt gibt.

Nur eine Identität, aber mehrere Facebook-Profile, die nahezu übereinstimmen.

Sarah hat deshalb KEIN Geld überwiesen.

Auch ich finde das auffällig und fange an zu recherchieren.

Wer steckt dahinter?

In vielen Facebook-Veranstaltungen warnen User bereits vor Betrügern.

Bestimmte Profile fallen mir besonders auf.

Sie bieten immer wieder Konzerttickets an – und zwar für ganz unterschiedliche Städte

– mehrere hundert Kilometer voneinander entfernt.

Dortmund, Bremen, Hannover – angeboten von der selben Person.

Eines dieser Profile nennt sich Sarah.

Ihr Profil sieht auf den ersten Blick normal aus.

Viele Fotos, viele Freunde.

Auffällig: Alle Fotos wurden am selben Tag hochgeladen.

Auch die Freundesliste macht mich stutzig: Über 600 Freunde – darunter auffällig

viele afrikanisch klingende Namen.

Ich suche nach anderen Profilen mit Sarahs Namen und tatsächlich finde ich ihren echten Account.

Da schreibt sie schon: „Ich wurde Opfer eines Internetbetrugs.

Keine Anfragen des Fake-Profils Sarah annehmen.“

Ich will wissen, was ihr passiert ist.

Hi!

Hallo Sarah!

Auch sie wollte Konzerttickets kaufen, bekommt als Absicherung Perso-Fotos geschickt, weil

eine persönliche Übergabe nicht möglich ist.

…Und habe dann den Deal ausgehandelt, dass ich erstmal nur ein Konzertticket bezahle,

im Voraus.

Sie dann die Konzerttickets losschickt und ich im Nachhinein das zweite Konzertticket bezahle.

Dann hat sie sich sofort drauf eingelassen die Person und meinte: „Ja klar, können wir machen.

Aber dann schick mir auch du Fotos von deinem Ausweis, damit wiederum ich auch sicher gehen

kann, dass du das zweite Tickets dann bezahlen wirst."

Dass ich mir damit mein eigenes Grab geschaufelt habe, war mir zu dem Zeitpunkt nicht klar.

Und dann wurde sie auch direkt fordernd und meinte: „Ne, schick nochmal ein Selfie!“

Ich hab‘ mir nichts dabei gedacht, ich war naiv, ich hab ihr noch ein Selfie geschickt.

Dann habe ich das Geld überwiesen und am nächsten Tag war ich blockiert.

Auf Facebook blockiert, Geld weg, und zwei Fotos von ihrem Perso, die jetzt irgendwo

kursieren, von irgendjemandem benutzt werden, um damit andere Menschen zu betrügen.

Muss sich scheisse anfühlen.

Und ich muss eben jeden Tag damit leben: Joa, mittlerweile kennen so und so viele Menschen

in Deutschland meine Adresse.

Und wenn irgendjemand glaubt, ich war das, dann könnte der auch einfach vor meiner Haustür

warten und mich bedrohen und sagen: „Jetzt gib mir mal mein Geld, was ich an dich überwiesen habe!"

Es gibt also zwei Opfer in dieser Geschichte: Einmal die, die in Anführungszeichen „nur“

Geld verlieren – für Konzerttickets, die sie nie bekommen.

Und dann diejenigen, die auch noch Opfer von Identitätsdiebstahl werden – deren Perso-Daten

dann für eine Betrugsmasche genutzt werden.

Ich will noch mehr über die Betrüger herausfinden.

Damit ich als Journalist nicht erkannt werde, werde ich zu Jana.

Die Unterhaltungen laufen immer gleich ab:

Persönliche Übergabe – keine Chance.

Die Ausreden - zum Teil nahezu identisch…

Hängen die Profile zusammen?

Auf Paypal lässt sich auch keiner von denen ein.

Stattdessen bekomme ich immer nur Bankdaten für eine Überweisung.

Die werden später noch wichtig werden.

… und ich bekomme Fotos von Personalausweisen.

Mit diesen Persos mache ich mich parallel auf die Suche nach den echten Besitzern.

Einige kann ich finden, mit vier von ihnen telefoniere ich.

Alle erzählen mir, dass sie ebenfalls selbst die Fotos ihrer Personalausweise an die Betrüger

geschickt haben - Opfer von Identitätsdiebstahl sind.

Dann bekomme ich plötzlich einen Anruf – von einer Nummer aus Baden-Württemberg.

Tja, so schnell kann's gehen.

Und zwar hat grad‘ bei mir die Polizei angerufen.

Und zwar wollten die wissen, wer ich bin, was ich mache.

Und das hatte den Grund, dass die Person, mit der ich grade telefoniert habe, die dann

auch meine Handynummer hatte, so skeptisch ist, dass die sich dann eben bei der Polizei

gemeldet hat und gesagt hat: „Ja, da hat irgendwie jemand gerade angerufen!“

Und das zeigt mir auch einfach nochmal, was das mit den Leuten macht, wie wirklich Opfer

von so einer Masche geworden sind, von Identitätsdiebstahl.

Dass die echt keinem mehr trauen.

Jetzt merke ich erst so richtig, was diese ganze Sache mit den Opfern macht, was für

einen Einfluss das auf ihr Leben hat.

Mittlerweile kann ich nur noch mit einem der vier Fake-Profile schreiben – alle anderen

sind nicht mehr verfügbar, warum auch immer.

Nur eine Maria ist noch in Kontakt mit mir – und sie wird langsam ungeduldig.

Mit ihr mach ich jetzt ernst.

Sie will, dass ich ihr endlich das Geld für die Konzerttickets überweise und ihr ein

Foto davon schicke:

Das Geld werde ich natürlich nicht überweisen und werde natürlich auch kein Foto schicken

von irgendwas.

Stattdessen habe ich etwas anderes vorbereitet.

Und zwar schicke ich der jetzt anstelle eines Fotos einen Link.

So.

Was die nicht weiß, ist, dass ich diesen Link präpariert habe.

Und zwar ist es so: Wenn sie auf diesen Link drauf klickt, dann kann ich hier an meinem

Laptop sehen, welche IP-Adresse dahinter steckt, also mit welcher IP-Adresse die agiert.

Und mit dieser IP-Adresse kann ich dann über einen bestimmten Weg herausfinden, in welcher

Region die sich aufhält.

Ich entschuldige mich kurz, dass ich mich mehrere Tage nicht gemeldet habe.

Dann schicke ich ihr – einfach nur mit dem Wort: „Hier“ den Link…

Ehrlich gesagt bin ich ein bisschen aufgeregt, ob das jetzt so klappt.

Sollte Maria draufklicken, landet sie einfach nur auf der Website der deutschen Bank.

Das hab ich vorher so festgelegt.

Hauptsache irgendwas mit Geld, dacht ich mir, damit sie nicht sofort misstrauisch wird.

…Und Volltreffer.

IP-Adresse… Kopiere die jetzt raus.

Okay, jetzt wird's spannend.

Dann kopiere ich die hier rein.

What?

Okay, wir haben was.

Und zwar wird mir angezeigt… Country: Benin.

Das ist, soweit ich weiß, in Afrika.

Und City: Cotonou… Cotonou - Hast du das schonmal gehört?

Hier, sogar mit Karte.

Cotonou..

What the fuck?

Wo ist Cotonou?

So ich scrolle nochmal raus.

Porto Novo, Lagos.

Ja, also Benin, das ist am Golf von Guinea.

Direkt zwischen Togo und Nigeria.

Natürlich nur, wenn die Person kein VPN nutzt.

Um das herauszufinden, schreibe ich nochmal ein paar Fake-Profile an, um denen diesen

Link unterzujubeln.

Wenn's dann noch einen Benin-Treffer gibt, haben wir quasi die Bestätigung.

Womit ich nicht gerechnet habe: Kein einziges Fake-Profil reagiert mehr auf meine Nachrichten.

Über mehrere Tage nicht.

Vielleicht steckt da ne Gruppe hinter?

Vielleicht haben die das mit dem Link gerafft und sprechen sich ab?

Ich versuch trotzdem weiter mein Glück.

In der Zwischenzeit guck ich mir nochmal die Bankverbindungen an, die mir die Fake-Profile

geschickt haben.

Per IBAN-Checker überprüfe ich, ob‘s irgendwelche Gemeinsamkeiten gibt.

Und ja: Alle Bankverbindungen gehören zur selben deutschen Bank: N26 – eine reine

Online-Bank mit Sitz in Berlin.

Auch das Fake-Profil von Sarah hat hier ein Konto.

Sarah erzählt mir, dass sie schon alle notwendigen Unterlagen bei der Bank eingereicht hat, um

das Konto sperren zu lassen.

Die Antwort der Bank:

..dass man sich bemühen wird, das Konto mit den betrügerischen Aktivitäten zu finden,

man mir aber aus Datenschutzgründen nichts weiter dazu sagen kann und alle relevanten

Informationen würde ich dann ja von der Polizei erfahren.

Dann habe ich diese Bank darauf hingewiesen, dass ich das als Widerspruch empfinde, wenn

man einerseits sagt: „Okay, wir glauben, es ist nicht dein Konto.

Deswegen können wir dir aus Datenschutzgründen keine Informationen zu diesem Konto geben.“

Aber andererseits dieses Konto auch nicht sperrt, wenn es offensichtlich nicht mein Konto ist.

Was ist das für eine Bank, bei der Betrüger offenbar so easy an Fake-Konten kommen?

Denn: alle Konten sind auf die Klarnamen der Opfer eröffnet.

Vielleicht auch mithilfe der Perso-Fotos?

Die Bank präsentiert sich auf ihrer Website als innovativ, jung, anders.

Wie'n klassisches Start-Up.

Mein Eindruck der Gründer: so Typ Unternehmensberater.

Wie genau nimmt die Bank es mit der Sicherheit?

Auf dem YouTube-Channel der Bank findet sich ein Video in dem erklärt wird, wie man seine

Identität bei der Kontoeröffnung bestätigt:

Per Selfi-Video-Call und indem man – wie hier – seinen Perso vor die Kamera hält.

Man kann sich bei N26 aber auch per Foto-Ident legitimieren.

Es genügen also einfach nur Fotos vom Perso zur Kontoeröffnung - Fotos, die den Betrügern vorliegen.

Dazu schreibt die Bank auf der Website: „Der Großteil unserer Kunden außerhalb Deutschlands

verwendet das Foto-Identifizierungsverfahren.“

Für Kunden mit deutschem Wohnsitz ist Foto-Ident nicht erlaubt.

Gibt es vielleicht eine Sicherheitslücke?

Wie ist es möglich, dass die Betrüger trotzdem im Namen der Opfer Konten eröffnen, obwohl

alle Opfer ihren Wohnsitz in Deutschland haben?

In der Vergangenheit stand die Bank schon mehrmals wegen Sicherheitsbedenken in den Schlagzeilen.

Dazu skype ich mit Philipp Alvarez.

Er ist Journalist und hat sich in der Vergangenheit schon intensiv mit N26 beschäftigt.

Hallo!

Hi Philipp!

Der erste große Vorfall, der war auf diesem Congress vom Chaos Computer Club, da hat ein

Experte gezeigt, wie leicht man die Sicherheitsmechanismen überlisten kann.

Dass man quasi fremde Konten übernehmen kann.

Letztes Jahr hat dann die Bankenaufsicht Bafin interne Sicherungsmaßnahmen angeordnet.

Die mussten dann, wenn ich die Zahl richtig im Kopf habe, 50.000 Kunden nochmal neu identifizieren,

um… quasi nachvollziehen, dass es wirklich die Personen sind, die das Konto eröffnet

haben laut den Daten, die N26 hat.

Das ist auch wohl was passiert.

Sie haben dann diese Teams aufgestockt.

Aber es blieb immer der Eindruck zurück, dass die immer nur so viel machen, wie eben

grade notwendig ist, und auch immer wieder neue Vorfälle in Kauf nehmen, weil anders

lässt sich das ja nicht erklären, dass es so oft zu Zwischenfällen kam.

Das ist sein Meinung.

Ich möchte mit N26 sprechen.

Ein persönliches Interview – nicht möglich.

Also gibt's meine Fragen per Mail.

Wie sicher stuft die Bank die drei Identifizierungs-verfahren – Foto-, Video-, oder Post-Ident – jeweils ein?

„Die drei genannten Identifizierungsverfahren entsprechen den europäischen geldwäscherechtlichen

Vorgaben und sind von den zuständigen Regulierungsbehörden genehmigt und akzeptiert.“

Ja, und dann wollte ich natürlich die Antwort zur Frage aller Fragen wissen:

Wie erklären Sie sich die Eröffnung deutscher Konten mithilfe des Foto-Ident-Verfahrens,

obwohl Sie laut ihrer Website Kunden mit deutschem Wohnsitz nur die Identifikation per Video-

oder Post-Ident ermöglichen?

Und hierauf war die Antwort von N26: „In Deutschland lebende Kunden können sich grundsätzlich

nur per Video-Ident-Verfahren ausweisen.

In seltenen Ausnahmefällen verwenden wir das Postident-Verfahren.“

Die entscheidende Frage, wie die Betrüger das schaffen, bleibt also offen.

Und dann ist da noch Facebook … Die bieten ja schließlich überhaupt erst die Plattform

für die ganze Betrugsmasche.

Wie gehen die gegen Fake-Profile vor?

Ich habe regelmäßig, das bedeutet, am Tag 2-3 Mal das Profil gemeldet.

Aber es wurde niemals etwas unternommen und diese Profile wurden nicht von Facebook gelöscht.

Ebenso habe ich viele meiner Facebook-Freunde gebeten, auch diese Profile zu melden.

Und das haben sie auch getan.

Einen Tag später kommt dann das: Facebook habe das gemeldete Profil überprüft

aber keinen Verstoß gegen die Gemeinschaftsstandards festgestellt.

Wie kann das sein, dass Facebook solche klar erkennbaren Fake-Accounts nicht löscht?

Ein Facebook-Sprecher antwortet mir hierzu:

„Wir bedanken uns für diesen Hinweis.

Wir haben den entsprechenden Account entfernt, weil er gegen unsere Richtlinien verstoßen hat.

Unsere Sicherheitsmaßnahmen wurden in diesem Fall mit gestohlenen Ausweisdokumenten umgangen.

Wir haben das Problem erkannt und arbeiten bereits intensiv daran, unsere Systeme entsprechend anzupassen."

Facebook‘s Sicherheitsmaßnahmen wurden mit gestohlenen Ausweisdokumenten umgangen.

Genau DAS ist doch das Problem.

Die Betrüger haben es geschafft, selbst Facebook zu täuschen.

Sarahs‘ Fake-Profile sind mittlerweile immerhin gelöscht – einige Fake-Profile anderer

Opfer sind allerdings nach wie vor online.

Das ironische an der Sache: Für meine Recherche ist es gut, dass Facebook nicht direkt alle

Fakes löscht.

Nach einer Woche meldet sich ein Fake-Account doch noch zurück.

Auch dieses Profil versucht, die Betrugsmasche mit mir abzuziehen.

Von mir gibt's als Antwort…den Link…und… sie klickt drauf.

Und tatsächlich - auch diese zweite IP-Adresse führt nach Cotonou, Benin.

Auch wieder Westafrika, genau der gleiche Ort, wie bei der anderen IP-Adresse.

Das heißt… Das ist kein Zufall.

Für mich heißt das: Konfrontation – und zwar JETZT.

Ich gebe mich als Journalist zu erkennen, konfrontiere das Profil mit meiner Recherche.

Ja, uns bleibt jetzt erstmal nichts anderes übrig, als zu warten.

Mein Herz klopft.

Sie schreibt… auf französisch.

Tja, wenn man jetzt französisch könnte.

Oh, ja.

Google translate sagt mir: „Geh und probier‘ den Penis deiner Mutter!“

Also er startet mit einer Beleidigung.

So, was haben wir als nächstes?

Dann haben wir hier sowas.

Was heißt das?

„Bastard, steigt aus.

Oder steig aus.“

Vielleicht meint er auch mich damit.

Wenn sie mir noch einmal schreiben, bin ich in Benin, und sie wissen, was wir in Benin tun.

Mein so und so ist fertig.

Was?

Okay, sie hat's jetzt auf deutsch übersetzt und schreibt: „Ich bin in Benin.

Ich werde dem Fetisch deinen Namen geben.“

What the fuck?

Es gibt ja oben rechts bei Facebook diesen Video-Call-Button.

Und ich würd‘ sagen, ich probier's einfach mal, oder?

Irgendwann hab ich keinen Bock mehr zu sehen zu sein.

Wer weiß, was die da im Hintergrund treiben.

Abgebrochen.

Was war das denn bitte?

Ernsthaft?

Das war ein Arsch? Ich hab das überhaupt nicht erkannt.

Ok, ich probiere es jetzt noch ein letztes Mal.

Ich weiß nicht, was ich dazu sagen soll, ey.

Die sind da mit mehreren Leuten, machen sich da einen Spaß draus.

Also denen ist das scheiss egal.

Denen ist das scheiss egal, dass die da irgendwelche anderen Leute abziehen.

Okay, ich glaube, er hat mich blockiert.

Da steht jetzt, die Person ist derzeit nicht verfügbar, was auch immer das bedeutet.

Ich habe jetzt schnell einen Screenshot gemacht.

Wer sind diese Jungs?

Ich skype als letzten Versuch die Journalistin Katrin Gänsler an.

Sie lebt in Cotonou in Benin – und sie ordnet mir aus ihrer Erfahrung ein, wer in Westafrika

häufig hinter solchen Online-Betrugsmaschen steckt.

Das sind häufig junge Männer.

Es sind häufig Männer, die schon auch ausgebildet sind, vielleicht auch studiert haben.

Und eben auch Leute, die Schwierigkeiten haben sonst einen Job zu finden.

Da ist Internetbetrug eine verlockende Alternative – vor allem finanziell.

Bei einem Land, bei dem der Mindestlohn so bei 60 – 65 Euro liegt, ist das eine ganze Menge.

60 – 65 Euro im Monat, oder wovon reden wir hier gerade?

Im Monat, ja!

Ach du Schande!

Überrascht dich das, dass jetzt unsere Spur nach Benin geführt hat?

Benin, jetzt hier vor allem Cotonou… Cotonou ist hier die größte Wirtschaftsmetropole.

Da beobachtet man diese Internetkriminalität auch seit den 2000er Jahren.

Insofern ist es gar nicht so überraschend.

Und was mit der Polizei – macht die nichts?

Die Polizei hier hat so eine Spezialeinheit zur Bekämpfung von Internetkriminalität geschaffen.

Hat 2017 73 Fälle verfolgt.

Da sieht man, dass es nicht so wahnsinnig viel ist.

Kein Wunder also, dass die keine Angst haben erwischt zu werden… Ich hab übrigens auch

mit der Polizei hier in Deutschland gesprochen.

Die kennen die Masche zwar – sagen aber auch: Sobald die Spur aus dem EU-Ausland rausführt,

gibt's kaum eine Chance, die Betrüger ranzukriegen.

Unterm Strich bleibt bei mir der Eindruck, dass die Opfer dieser Betrugsmasche ziemlich

allein gelassen werden – die, die Geld verlieren und VOR ALLEM die, deren Identität für die

Betrugsmasche geklaut und missbraucht wird – so wie bei Sarah.

Immerhin: Das Bank-Konto, das in ihrem Namen eröffnet wurde, scheint mittlerweile gesperrt

oder gelöscht zu sein.

Zur Überprüfung haben wir darauf einen Cent überwiesen – das Geld kam zurück.

Welche Frage aber nach wie vor offen ist: Wie konnten die Betrüger Konten mit den gestohlenen

Personalausweis-Fotos eröffnen, wenn das Foto-Ident-Verfahren laut N26-Richtlinien

nur für Menschen mit Wohnsitz im Ausland möglich ist.

Wenn ihr Opfer von Identitätsdiebstahl werdet, dann geht auf jeden Fall zur Polizei und erstattet

Anzeige – ganz egal, wie unangenehm euch das sein sollte.

Damit es aber erst gar nicht so weit kommt.

Bitte, bitte, bitte – die goldene Regel beachten: Schickt auf gar keinen Fall irgendwelchen

Fremden Fotos von eurem Personalausweis zu, das ist eigentlich das aller Wichtigste.

Aber vielleicht seid ihr trotzdem schonmal in irgendeine Online-Betrugsmasche reingetappt.

Falls euch das passiert ist, dann schreibt mir gerne einmal unten in die Kommentare und

berichtet von euren Erfahrungen.

Ansonsten habe ich euch hier nochmal ein Video verlinkt von den Kollegen von Strg_f – die

haben zu einem Online-Shop recherchiert, der Nazi-Propaganda vertreibt.

Nächste Woche gibt's dann auf unserem Zweitkanal das Q&A von mir, in dem ich auf eure wichtigsten Fragen antworte.

Identitätsdiebstahl beim Ticketverkauf - Online-Betrug mit Deinem Namen identity theft||ticket sales||||| Identity theft in ticket sales - online fraud with your name Identiteitsdiefstal bij kaartverkoop - online fraude met je naam Roubo de identidade na venda de bilhetes - fraude em linha utilizando o seu nome

Stell dir vor, jemand gibt sich als du aus – ohne dass du es weißt.

Nutzt deinen Namen und deine Fotos, um andere Leute zu betrügen. ||||||||||cheat

Und wenn irgendjemand glaubt, ich war das, dann könnte der auch einfach vor meiner Haustür

warten und mich bedrohen und sagen: „So, jetzt gib‘ mir mal mein Geld!“

Und das, obwohl du eigentlich nur Konzerttickets bei Facebook kaufen wolltest.

Dass ich mir damit mein eigenes Grab geschaufelt habe, war mir zu dem Zeitpunkt nicht klar. |||||||shoveled||||||||

Ich bin einer Betrugsmasche auf Facebook auf die Spur gekommen - mittendrin: eine deutsche Bank. |||scam||||||||||

Die mussten dann 50.000 Kunden nochmal neu identifizieren.

Ich will wissen: Wie groß ist das Ganze?

Wer steckt hinter dem Betrug?

Und zwar schicke ich der jetzt einen Link.

Was die nicht weiß, ist, dass ich diesen Link präpariert habe.

Was war das denn bitte?

Oh man.

Auf die ganze Geschichte bin ich durch Sarah aus Bremen gekommen.

Hi Sarah!

Tim.

Freut mich!

Das ist Henrike, und das hier ist dein Mikro, damit wir dich auch hören.

Sarah wollte auf Facebook Konzertkarten kaufen.

Aber sie entdeckt mehrere Auffälligkeiten.

Keiner will die Tickets persönlich übergeben.

Also die meisten haben dann halt gesagt, dass sie aus irgendwelchen Gründen eben jetzt

nicht in der Stadt sind.

Daraufhin habe ich gefragt, ob es möglich wäre, die Tickets per Paypal zu bezahlen,

weil man da ja diesen Käuferschutz hat. |||||buyer protection|

Und das wurde dann aber auch abgelehnt.

Und daraufhin haben mir dann einige angeboten – oder auch teilweise ohne Aufforderung |||||||||||request

– Fotos geschickt, wo man die Person mit ihrem Personalausweis erkennen kann.

Stimmt, so hier.

Hattest du ja geschickt gehabt.

Genau.

Ich habe dann halt von allen Personen, die ich angeschrieben habe, diese Rückmeldung

bekommen, diese Fotos geschickt bekommen.

Von allen?

Ja.

Also alle, die ich angeschrieben habe, haben auf die selbe Weise mit mir geschrieben und ||||written||||||||||

diese Fotos geschickt.

Und dann bin ich stutzig geworden. ||||suspicious|

Keine persönliche Übergabe, kein Bezahlen per Paypal - und ohne Nachfrage gibt's von ||handover|||||||||

allen - Fotos vom Personalausweis.

Und auch sprachlich fallen die Profile auf. ||linguistically||||

Ich bin dann eben auch auf diese echten Facebook-Profile gestoßen und habe festgestellt, dass es die

Person dann ja halt irgendwie doppelt gibt.

Nur eine Identität, aber mehrere Facebook-Profile, die nahezu übereinstimmen. |||||||||match

Sarah hat deshalb KEIN Geld überwiesen. |||||transferred

Auch ich finde das auffällig und fange an zu recherchieren.

Wer steckt dahinter?

In vielen Facebook-Veranstaltungen warnen User bereits vor Betrügern.

Bestimmte Profile fallen mir besonders auf.

Sie bieten immer wieder Konzerttickets an – und zwar für ganz unterschiedliche Städte

– mehrere hundert Kilometer voneinander entfernt.

Dortmund, Bremen, Hannover – angeboten von der selben Person.

Eines dieser Profile nennt sich Sarah.

Ihr Profil sieht auf den ersten Blick normal aus.

Viele Fotos, viele Freunde.

Auffällig: Alle Fotos wurden am selben Tag hochgeladen. |||||||uploaded

Auch die Freundesliste macht mich stutzig: Über 600 Freunde – darunter auffällig ||friends list|||||||

viele afrikanisch klingende Namen.

Ich suche nach anderen Profilen mit Sarahs Namen und tatsächlich finde ich ihren echten Account.

Da schreibt sie schon: „Ich wurde Opfer eines Internetbetrugs.

Keine Anfragen des Fake-Profils Sarah annehmen.“

Ich will wissen, was ihr passiert ist.

Hi!

Hallo Sarah!

Auch sie wollte Konzerttickets kaufen, bekommt als Absicherung Perso-Fotos geschickt, weil

eine persönliche Übergabe nicht möglich ist.

…Und habe dann den Deal ausgehandelt, dass ich erstmal nur ein Konzertticket bezahle,

im Voraus.

Sie dann die Konzerttickets losschickt und ich im Nachhinein das zweite Konzertticket bezahle. ||||send off||||||||

Dann hat sie sich sofort drauf eingelassen die Person und meinte: „Ja klar, können wir machen.

Aber dann schick mir auch du Fotos von deinem Ausweis, damit wiederum ich auch sicher gehen

kann, dass du das zweite Tickets dann bezahlen wirst."

Dass ich mir damit mein eigenes Grab geschaufelt habe, war mir zu dem Zeitpunkt nicht klar.

Und dann wurde sie auch direkt fordernd und meinte: „Ne, schick nochmal ein Selfie!“

Ich hab‘ mir nichts dabei gedacht, ich war naiv, ich hab ihr noch ein Selfie geschickt.

Dann habe ich das Geld überwiesen und am nächsten Tag war ich blockiert.

Auf Facebook blockiert, Geld weg, und zwei Fotos von ihrem Perso, die jetzt irgendwo

kursieren, von irgendjemandem benutzt werden, um damit andere Menschen zu betrügen.

Muss sich scheisse anfühlen.

Und ich muss eben jeden Tag damit leben: Joa, mittlerweile kennen so und so viele Menschen

in Deutschland meine Adresse.

Und wenn irgendjemand glaubt, ich war das, dann könnte der auch einfach vor meiner Haustür

warten und mich bedrohen und sagen: „Jetzt gib mir mal mein Geld, was ich an dich überwiesen habe!"

Es gibt also zwei Opfer in dieser Geschichte: Einmal die, die in Anführungszeichen „nur“ ||||||||||||quotation marks|

Geld verlieren – für Konzerttickets, die sie nie bekommen.

Und dann diejenigen, die auch noch Opfer von Identitätsdiebstahl werden – deren Perso-Daten

dann für eine Betrugsmasche genutzt werden.

Ich will noch mehr über die Betrüger herausfinden.

Damit ich als Journalist nicht erkannt werde, werde ich zu Jana.

Die Unterhaltungen laufen immer gleich ab:

Persönliche Übergabe – keine Chance.

Die Ausreden - zum Teil nahezu identisch…

Hängen die Profile zusammen?

Auf Paypal lässt sich auch keiner von denen ein.

Stattdessen bekomme ich immer nur Bankdaten für eine Überweisung.

Die werden später noch wichtig werden.

… und ich bekomme Fotos von Personalausweisen.

Mit diesen Persos mache ich mich parallel auf die Suche nach den echten Besitzern.

Einige kann ich finden, mit vier von ihnen telefoniere ich.

Alle erzählen mir, dass sie ebenfalls selbst die Fotos ihrer Personalausweise an die Betrüger ||||||||||personal identification cards|||

geschickt haben - Opfer von Identitätsdiebstahl sind.

Dann bekomme ich plötzlich einen Anruf – von einer Nummer aus Baden-Württemberg.

Tja, so schnell kann's gehen.

Und zwar hat grad‘ bei mir die Polizei angerufen.

Und zwar wollten die wissen, wer ich bin, was ich mache.

Und das hatte den Grund, dass die Person, mit der ich grade telefoniert habe, die dann

auch meine Handynummer hatte, so skeptisch ist, dass die sich dann eben bei der Polizei

gemeldet hat und gesagt hat: „Ja, da hat irgendwie jemand gerade angerufen!“

Und das zeigt mir auch einfach nochmal, was das mit den Leuten macht, wie wirklich Opfer

von so einer Masche geworden sind, von Identitätsdiebstahl.

Dass die echt keinem mehr trauen.

Jetzt merke ich erst so richtig, was diese ganze Sache mit den Opfern macht, was für

einen Einfluss das auf ihr Leben hat.

Mittlerweile kann ich nur noch mit einem der vier Fake-Profile schreiben – alle anderen

sind nicht mehr verfügbar, warum auch immer.

Nur eine Maria ist noch in Kontakt mit mir – und sie wird langsam ungeduldig. |||||||||||||impatient

Mit ihr mach ich jetzt ernst.

Sie will, dass ich ihr endlich das Geld für die Konzerttickets überweise und ihr ein |||||||||||transfer|||

Foto davon schicke:

Das Geld werde ich natürlich nicht überweisen und werde natürlich auch kein Foto schicken

von irgendwas.

Stattdessen habe ich etwas anderes vorbereitet.

Und zwar schicke ich der jetzt anstelle eines Fotos einen Link.

So.

Was die nicht weiß, ist, dass ich diesen Link präpariert habe.

Und zwar ist es so: Wenn sie auf diesen Link drauf klickt, dann kann ich hier an meinem

Laptop sehen, welche IP-Adresse dahinter steckt, also mit welcher IP-Adresse die agiert. |||||||||||||operates

Und mit dieser IP-Adresse kann ich dann über einen bestimmten Weg herausfinden, in welcher

Region die sich aufhält.

Ich entschuldige mich kurz, dass ich mich mehrere Tage nicht gemeldet habe.

Dann schicke ich ihr – einfach nur mit dem Wort: „Hier“ den Link…

Ehrlich gesagt bin ich ein bisschen aufgeregt, ob das jetzt so klappt.

Sollte Maria draufklicken, landet sie einfach nur auf der Website der deutschen Bank.

Das hab ich vorher so festgelegt.

Hauptsache irgendwas mit Geld, dacht ich mir, damit sie nicht sofort misstrauisch wird.

…Und Volltreffer.

IP-Adresse… Kopiere die jetzt raus.

Okay, jetzt wird's spannend.

Dann kopiere ich die hier rein.

What?

Okay, wir haben was.

Und zwar wird mir angezeigt… Country: Benin.

Das ist, soweit ich weiß, in Afrika.

Und City: Cotonou… Cotonou - Hast du das schonmal gehört?

Hier, sogar mit Karte.

Cotonou..

What the fuck?

Wo ist Cotonou?

So ich scrolle nochmal raus.

Porto Novo, Lagos.

Ja, also Benin, das ist am Golf von Guinea.

Direkt zwischen Togo und Nigeria.

Natürlich nur, wenn die Person kein VPN nutzt.

Um das herauszufinden, schreibe ich nochmal ein paar Fake-Profile an, um denen diesen

Link unterzujubeln. |shove

Wenn's dann noch einen Benin-Treffer gibt, haben wir quasi die Bestätigung.

Womit ich nicht gerechnet habe: Kein einziges Fake-Profil reagiert mehr auf meine Nachrichten.

Über mehrere Tage nicht.

Vielleicht steckt da ne Gruppe hinter?

Vielleicht haben die das mit dem Link gerafft und sprechen sich ab?

Ich versuch trotzdem weiter mein Glück.

In der Zwischenzeit guck ich mir nochmal die Bankverbindungen an, die mir die Fake-Profile

geschickt haben.

Per IBAN-Checker überprüfe ich, ob‘s irgendwelche Gemeinsamkeiten gibt.

Und ja: Alle Bankverbindungen gehören zur selben deutschen Bank: N26 – eine reine

Online-Bank mit Sitz in Berlin.

Auch das Fake-Profil von Sarah hat hier ein Konto.

Sarah erzählt mir, dass sie schon alle notwendigen Unterlagen bei der Bank eingereicht hat, um ||||||||||||submitted||

das Konto sperren zu lassen.

Die Antwort der Bank:

..dass man sich bemühen wird, das Konto mit den betrügerischen Aktivitäten zu finden, |||will try||||||fraudulent|||

man mir aber aus Datenschutzgründen nichts weiter dazu sagen kann und alle relevanten ||||data protection||||||||

Informationen würde ich dann ja von der Polizei erfahren.

Dann habe ich diese Bank darauf hingewiesen, dass ich das als Widerspruch empfinde, wenn

man einerseits sagt: „Okay, wir glauben, es ist nicht dein Konto.

Deswegen können wir dir aus Datenschutzgründen keine Informationen zu diesem Konto geben.“

Aber andererseits dieses Konto auch nicht sperrt, wenn es offensichtlich nicht mein Konto ist.

Was ist das für eine Bank, bei der Betrüger offenbar so easy an Fake-Konten kommen?

Denn: alle Konten sind auf die Klarnamen der Opfer eröffnet.

Vielleicht auch mithilfe der Perso-Fotos?

Die Bank präsentiert sich auf ihrer Website als innovativ, jung, anders.

Wie'n klassisches Start-Up.

Mein Eindruck der Gründer: so Typ Unternehmensberater. ||||||business consultant

Wie genau nimmt die Bank es mit der Sicherheit?

Auf dem YouTube-Channel der Bank findet sich ein Video in dem erklärt wird, wie man seine

Identität bei der Kontoeröffnung bestätigt:

Per Selfi-Video-Call und indem man – wie hier – seinen Perso vor die Kamera hält.

Man kann sich bei N26 aber auch per Foto-Ident legitimieren.

Es genügen also einfach nur Fotos vom Perso zur Kontoeröffnung - Fotos, die den Betrügern vorliegen.

Dazu schreibt die Bank auf der Website: „Der Großteil unserer Kunden außerhalb Deutschlands

verwendet das Foto-Identifizierungsverfahren.“

Für Kunden mit deutschem Wohnsitz ist Foto-Ident nicht erlaubt.

Gibt es vielleicht eine Sicherheitslücke? ||||security vulnerability

Wie ist es möglich, dass die Betrüger trotzdem im Namen der Opfer Konten eröffnen, obwohl

alle Opfer ihren Wohnsitz in Deutschland haben?

In der Vergangenheit stand die Bank schon mehrmals wegen Sicherheitsbedenken in den Schlagzeilen. ||||||||||||headlines

Dazu skype ich mit Philipp Alvarez.

Er ist Journalist und hat sich in der Vergangenheit schon intensiv mit N26 beschäftigt.

Hallo!

Hi Philipp!

Der erste große Vorfall, der war auf diesem Congress vom Chaos Computer Club, da hat ein |||incident||||||||||||

Experte gezeigt, wie leicht man die Sicherheitsmechanismen überlisten kann.

Dass man quasi fremde Konten übernehmen kann.

Letztes Jahr hat dann die Bankenaufsicht Bafin interne Sicherungsmaßnahmen angeordnet.

Die mussten dann, wenn ich die Zahl richtig im Kopf habe, 50.000 Kunden nochmal neu identifizieren,

um… quasi nachvollziehen, dass es wirklich die Personen sind, die das Konto eröffnet

haben laut den Daten, die N26 hat.

Das ist auch wohl was passiert.

Sie haben dann diese Teams aufgestockt.

Aber es blieb immer der Eindruck zurück, dass die immer nur so viel machen, wie eben

grade notwendig ist, und auch immer wieder neue Vorfälle in Kauf nehmen, weil anders

lässt sich das ja nicht erklären, dass es so oft zu Zwischenfällen kam.

Das ist sein Meinung.

Ich möchte mit N26 sprechen.

Ein persönliches Interview – nicht möglich.

Also gibt's meine Fragen per Mail.

Wie sicher stuft die Bank die drei Identifizierungs-verfahren – Foto-, Video-, oder Post-Ident – jeweils ein?

„Die drei genannten Identifizierungsverfahren entsprechen den europäischen geldwäscherechtlichen

Vorgaben und sind von den zuständigen Regulierungsbehörden genehmigt und akzeptiert.“ ||||||regulatory authorities|||

Ja, und dann wollte ich natürlich die Antwort zur Frage aller Fragen wissen:

Wie erklären Sie sich die Eröffnung deutscher Konten mithilfe des Foto-Ident-Verfahrens,

obwohl Sie laut ihrer Website Kunden mit deutschem Wohnsitz nur die Identifikation per Video-

oder Post-Ident ermöglichen?

Und hierauf war die Antwort von N26: „In Deutschland lebende Kunden können sich grundsätzlich

nur per Video-Ident-Verfahren ausweisen.

In seltenen Ausnahmefällen verwenden wir das Postident-Verfahren.“

Die entscheidende Frage, wie die Betrüger das schaffen, bleibt also offen.

Und dann ist da noch Facebook … Die bieten ja schließlich überhaupt erst die Plattform

für die ganze Betrugsmasche.

Wie gehen die gegen Fake-Profile vor?

Ich habe regelmäßig, das bedeutet, am Tag 2-3 Mal das Profil gemeldet.

Aber es wurde niemals etwas unternommen und diese Profile wurden nicht von Facebook gelöscht.

Ebenso habe ich viele meiner Facebook-Freunde gebeten, auch diese Profile zu melden.

Und das haben sie auch getan.

Einen Tag später kommt dann das: Facebook habe das gemeldete Profil überprüft

aber keinen Verstoß gegen die Gemeinschaftsstandards festgestellt. ||violation||||

Wie kann das sein, dass Facebook solche klar erkennbaren Fake-Accounts nicht löscht?

Ein Facebook-Sprecher antwortet mir hierzu:

„Wir bedanken uns für diesen Hinweis.

Wir haben den entsprechenden Account entfernt, weil er gegen unsere Richtlinien verstoßen hat.

Unsere Sicherheitsmaßnahmen wurden in diesem Fall mit gestohlenen Ausweisdokumenten umgangen. |security measures|||||||identification documents|

Wir haben das Problem erkannt und arbeiten bereits intensiv daran, unsere Systeme entsprechend anzupassen."

Facebook‘s Sicherheitsmaßnahmen wurden mit gestohlenen Ausweisdokumenten umgangen.

Genau DAS ist doch das Problem.

Die Betrüger haben es geschafft, selbst Facebook zu täuschen.

Sarahs‘ Fake-Profile sind mittlerweile immerhin gelöscht – einige Fake-Profile anderer

Opfer sind allerdings nach wie vor online.

Das ironische an der Sache: Für meine Recherche ist es gut, dass Facebook nicht direkt alle

Fakes löscht.

Nach einer Woche meldet sich ein Fake-Account doch noch zurück.

Auch dieses Profil versucht, die Betrugsmasche mit mir abzuziehen.

Von mir gibt's als Antwort…den Link…und… sie klickt drauf.

Und tatsächlich - auch diese zweite IP-Adresse führt nach Cotonou, Benin.

Auch wieder Westafrika, genau der gleiche Ort, wie bei der anderen IP-Adresse.

Das heißt… Das ist kein Zufall.

Für mich heißt das: Konfrontation – und zwar JETZT.

Ich gebe mich als Journalist zu erkennen, konfrontiere das Profil mit meiner Recherche.

Ja, uns bleibt jetzt erstmal nichts anderes übrig, als zu warten.

Mein Herz klopft.

Sie schreibt… auf französisch.

Tja, wenn man jetzt französisch könnte.

Oh, ja.

Google translate sagt mir: „Geh und probier‘ den Penis deiner Mutter!“

Also er startet mit einer Beleidigung.

So, was haben wir als nächstes?

Dann haben wir hier sowas.

Was heißt das?

„Bastard, steigt aus.

Oder steig aus.“

Vielleicht meint er auch mich damit.

Wenn sie mir noch einmal schreiben, bin ich in Benin, und sie wissen, was wir in Benin tun.

Mein so und so ist fertig.

Was?

Okay, sie hat's jetzt auf deutsch übersetzt und schreibt: „Ich bin in Benin.

Ich werde dem Fetisch deinen Namen geben.“

What the fuck?

Es gibt ja oben rechts bei Facebook diesen Video-Call-Button.

Und ich würd‘ sagen, ich probier's einfach mal, oder?

Irgendwann hab ich keinen Bock mehr zu sehen zu sein.

Wer weiß, was die da im Hintergrund treiben.

Abgebrochen.

Was war das denn bitte?

Ernsthaft?

Das war ein Arsch? Ich hab das überhaupt nicht erkannt.

Ok, ich probiere es jetzt noch ein letztes Mal.

Ich weiß nicht, was ich dazu sagen soll, ey.

Die sind da mit mehreren Leuten, machen sich da einen Spaß draus.

Also denen ist das scheiss egal.

Denen ist das scheiss egal, dass die da irgendwelche anderen Leute abziehen.

Okay, ich glaube, er hat mich blockiert.

Da steht jetzt, die Person ist derzeit nicht verfügbar, was auch immer das bedeutet.

Ich habe jetzt schnell einen Screenshot gemacht.

Wer sind diese Jungs?

Ich skype als letzten Versuch die Journalistin Katrin Gänsler an. ||||||||Gänsler|

Sie lebt in Cotonou in Benin – und sie ordnet mir aus ihrer Erfahrung ein, wer in Westafrika

häufig hinter solchen Online-Betrugsmaschen steckt.

Das sind häufig junge Männer.

Es sind häufig Männer, die schon auch ausgebildet sind, vielleicht auch studiert haben.

Und eben auch Leute, die Schwierigkeiten haben sonst einen Job zu finden.

Da ist Internetbetrug eine verlockende Alternative – vor allem finanziell.

Bei einem Land, bei dem der Mindestlohn so bei 60 – 65 Euro liegt, ist das eine ganze Menge.

60 – 65 Euro im Monat, oder wovon reden wir hier gerade?

Im Monat, ja!

Ach du Schande!

Überrascht dich das, dass jetzt unsere Spur nach Benin geführt hat?

Benin, jetzt hier vor allem Cotonou… Cotonou ist hier die größte Wirtschaftsmetropole.

Da beobachtet man diese Internetkriminalität auch seit den 2000er Jahren.

Insofern ist es gar nicht so überraschend.

Und was mit der Polizei – macht die nichts?

Die Polizei hier hat so eine Spezialeinheit zur Bekämpfung von Internetkriminalität geschaffen.

Hat 2017 73 Fälle verfolgt.

Da sieht man, dass es nicht so wahnsinnig viel ist.

Kein Wunder also, dass die keine Angst haben erwischt zu werden… Ich hab übrigens auch

mit der Polizei hier in Deutschland gesprochen.

Die kennen die Masche zwar – sagen aber auch: Sobald die Spur aus dem EU-Ausland rausführt,

gibt's kaum eine Chance, die Betrüger ranzukriegen.

Unterm Strich bleibt bei mir der Eindruck, dass die Opfer dieser Betrugsmasche ziemlich

allein gelassen werden – die, die Geld verlieren und VOR ALLEM die, deren Identität für die

Betrugsmasche geklaut und missbraucht wird – so wie bei Sarah.

Immerhin: Das Bank-Konto, das in ihrem Namen eröffnet wurde, scheint mittlerweile gesperrt

oder gelöscht zu sein.

Zur Überprüfung haben wir darauf einen Cent überwiesen – das Geld kam zurück.

Welche Frage aber nach wie vor offen ist: Wie konnten die Betrüger Konten mit den gestohlenen

Personalausweis-Fotos eröffnen, wenn das Foto-Ident-Verfahren laut N26-Richtlinien

nur für Menschen mit Wohnsitz im Ausland möglich ist.

Wenn ihr Opfer von Identitätsdiebstahl werdet, dann geht auf jeden Fall zur Polizei und erstattet

Anzeige – ganz egal, wie unangenehm euch das sein sollte.

Damit es aber erst gar nicht so weit kommt.

Bitte, bitte, bitte – die goldene Regel beachten: Schickt auf gar keinen Fall irgendwelchen

Fremden Fotos von eurem Personalausweis zu, das ist eigentlich das aller Wichtigste.

Aber vielleicht seid ihr trotzdem schonmal in irgendeine Online-Betrugsmasche reingetappt. ||||||||||fallen into

Falls euch das passiert ist, dann schreibt mir gerne einmal unten in die Kommentare und

berichtet von euren Erfahrungen.

Ansonsten habe ich euch hier nochmal ein Video verlinkt von den Kollegen von Strg_f – die

haben zu einem Online-Shop recherchiert, der Nazi-Propaganda vertreibt.

Nächste Woche gibt's dann auf unserem Zweitkanal das Q&A von mir, in dem ich auf eure wichtigsten Fragen antworte.