Identitätsdiebstahl beim Ticketverkauf - Online-Betrug mit Deinem Namen
Stell dir vor, jemand gibt sich als du aus – ohne dass du es weißt.
Nutzt deinen Namen und deine Fotos, um andere Leute zu betrügen.
Und wenn irgendjemand glaubt, ich war das, dann könnte der auch einfach vor meiner Haustür
warten und mich bedrohen und sagen: „So, jetzt gib‘ mir mal mein Geld!“
Und das, obwohl du eigentlich nur Konzerttickets bei Facebook kaufen wolltest.
Dass ich mir damit mein eigenes Grab geschaufelt habe, war mir zu dem Zeitpunkt nicht klar.
Ich bin einer Betrugsmasche auf Facebook auf die Spur gekommen - mittendrin: eine deutsche Bank.
Die mussten dann 50.000 Kunden nochmal neu identifizieren.
Ich will wissen: Wie groß ist das Ganze?
Wer steckt hinter dem Betrug?
Und zwar schicke ich der jetzt einen Link.
Was die nicht weiß, ist, dass ich diesen Link präpariert habe.
Was war das denn bitte?
Oh man.
Auf die ganze Geschichte bin ich durch Sarah aus Bremen gekommen.
Hi Sarah!
Tim.
Freut mich!
Das ist Henrike, und das hier ist dein Mikro, damit wir dich auch hören.
Sarah wollte auf Facebook Konzertkarten kaufen.
Aber sie entdeckt mehrere Auffälligkeiten.
Keiner will die Tickets persönlich übergeben.
Also die meisten haben dann halt gesagt, dass sie aus irgendwelchen Gründen eben jetzt
nicht in der Stadt sind.
Daraufhin habe ich gefragt, ob es möglich wäre, die Tickets per Paypal zu bezahlen,
weil man da ja diesen Käuferschutz hat.
Und das wurde dann aber auch abgelehnt.
Und daraufhin haben mir dann einige angeboten – oder auch teilweise ohne Aufforderung
– Fotos geschickt, wo man die Person mit ihrem Personalausweis erkennen kann.
Stimmt, so hier.
Hattest du ja geschickt gehabt.
Genau.
Ich habe dann halt von allen Personen, die ich angeschrieben habe, diese Rückmeldung
bekommen, diese Fotos geschickt bekommen.
Von allen?
Ja.
Also alle, die ich angeschrieben habe, haben auf die selbe Weise mit mir geschrieben und
diese Fotos geschickt.
Und dann bin ich stutzig geworden.
Keine persönliche Übergabe, kein Bezahlen per Paypal - und ohne Nachfrage gibt's von
allen - Fotos vom Personalausweis.
Und auch sprachlich fallen die Profile auf.
Ich bin dann eben auch auf diese echten Facebook-Profile gestoßen und habe festgestellt, dass es die
Person dann ja halt irgendwie doppelt gibt.
Nur eine Identität, aber mehrere Facebook-Profile, die nahezu übereinstimmen.
Sarah hat deshalb KEIN Geld überwiesen.
Auch ich finde das auffällig und fange an zu recherchieren.
Wer steckt dahinter?
In vielen Facebook-Veranstaltungen warnen User bereits vor Betrügern.
Bestimmte Profile fallen mir besonders auf.
Sie bieten immer wieder Konzerttickets an – und zwar für ganz unterschiedliche Städte
– mehrere hundert Kilometer voneinander entfernt.
Dortmund, Bremen, Hannover – angeboten von der selben Person.
Eines dieser Profile nennt sich Sarah.
Ihr Profil sieht auf den ersten Blick normal aus.
Viele Fotos, viele Freunde.
Auffällig: Alle Fotos wurden am selben Tag hochgeladen.
Auch die Freundesliste macht mich stutzig: Über 600 Freunde – darunter auffällig
viele afrikanisch klingende Namen.
Ich suche nach anderen Profilen mit Sarahs Namen und tatsächlich finde ich ihren echten Account.
Da schreibt sie schon: „Ich wurde Opfer eines Internetbetrugs.
Keine Anfragen des Fake-Profils Sarah annehmen.“
Ich will wissen, was ihr passiert ist.
Hi!
Hallo Sarah!
Auch sie wollte Konzerttickets kaufen, bekommt als Absicherung Perso-Fotos geschickt, weil
eine persönliche Übergabe nicht möglich ist.
…Und habe dann den Deal ausgehandelt, dass ich erstmal nur ein Konzertticket bezahle,
im Voraus.
Sie dann die Konzerttickets losschickt und ich im Nachhinein das zweite Konzertticket bezahle.
Dann hat sie sich sofort drauf eingelassen die Person und meinte: „Ja klar, können wir machen.
Aber dann schick mir auch du Fotos von deinem Ausweis, damit wiederum ich auch sicher gehen
kann, dass du das zweite Tickets dann bezahlen wirst."
Dass ich mir damit mein eigenes Grab geschaufelt habe, war mir zu dem Zeitpunkt nicht klar.
Und dann wurde sie auch direkt fordernd und meinte: „Ne, schick nochmal ein Selfie!“
Ich hab‘ mir nichts dabei gedacht, ich war naiv, ich hab ihr noch ein Selfie geschickt.
Dann habe ich das Geld überwiesen und am nächsten Tag war ich blockiert.
Auf Facebook blockiert, Geld weg, und zwei Fotos von ihrem Perso, die jetzt irgendwo
kursieren, von irgendjemandem benutzt werden, um damit andere Menschen zu betrügen.
Muss sich scheisse anfühlen.
Und ich muss eben jeden Tag damit leben: Joa, mittlerweile kennen so und so viele Menschen
in Deutschland meine Adresse.
Und wenn irgendjemand glaubt, ich war das, dann könnte der auch einfach vor meiner Haustür
warten und mich bedrohen und sagen: „Jetzt gib mir mal mein Geld, was ich an dich überwiesen habe!"
Es gibt also zwei Opfer in dieser Geschichte: Einmal die, die in Anführungszeichen „nur“
Geld verlieren – für Konzerttickets, die sie nie bekommen.
Und dann diejenigen, die auch noch Opfer von Identitätsdiebstahl werden – deren Perso-Daten
dann für eine Betrugsmasche genutzt werden.
Ich will noch mehr über die Betrüger herausfinden.
Damit ich als Journalist nicht erkannt werde, werde ich zu Jana.
Die Unterhaltungen laufen immer gleich ab:
Persönliche Übergabe – keine Chance.
Die Ausreden - zum Teil nahezu identisch…
Hängen die Profile zusammen?
Auf Paypal lässt sich auch keiner von denen ein.
Stattdessen bekomme ich immer nur Bankdaten für eine Überweisung.
Die werden später noch wichtig werden.
… und ich bekomme Fotos von Personalausweisen.
Mit diesen Persos mache ich mich parallel auf die Suche nach den echten Besitzern.
Einige kann ich finden, mit vier von ihnen telefoniere ich.
Alle erzählen mir, dass sie ebenfalls selbst die Fotos ihrer Personalausweise an die Betrüger
geschickt haben - Opfer von Identitätsdiebstahl sind.
Dann bekomme ich plötzlich einen Anruf – von einer Nummer aus Baden-Württemberg.
Tja, so schnell kann's gehen.
Und zwar hat grad‘ bei mir die Polizei angerufen.
Und zwar wollten die wissen, wer ich bin, was ich mache.
Und das hatte den Grund, dass die Person, mit der ich grade telefoniert habe, die dann
auch meine Handynummer hatte, so skeptisch ist, dass die sich dann eben bei der Polizei
gemeldet hat und gesagt hat: „Ja, da hat irgendwie jemand gerade angerufen!“
Und das zeigt mir auch einfach nochmal, was das mit den Leuten macht, wie wirklich Opfer
von so einer Masche geworden sind, von Identitätsdiebstahl.
Dass die echt keinem mehr trauen.
Jetzt merke ich erst so richtig, was diese ganze Sache mit den Opfern macht, was für
einen Einfluss das auf ihr Leben hat.
Mittlerweile kann ich nur noch mit einem der vier Fake-Profile schreiben – alle anderen
sind nicht mehr verfügbar, warum auch immer.
Nur eine Maria ist noch in Kontakt mit mir – und sie wird langsam ungeduldig.
Mit ihr mach ich jetzt ernst.
Sie will, dass ich ihr endlich das Geld für die Konzerttickets überweise und ihr ein
Foto davon schicke:
Das Geld werde ich natürlich nicht überweisen und werde natürlich auch kein Foto schicken
von irgendwas.
Stattdessen habe ich etwas anderes vorbereitet.
Und zwar schicke ich der jetzt anstelle eines Fotos einen Link.
So.
Was die nicht weiß, ist, dass ich diesen Link präpariert habe.
Und zwar ist es so: Wenn sie auf diesen Link drauf klickt, dann kann ich hier an meinem
Laptop sehen, welche IP-Adresse dahinter steckt, also mit welcher IP-Adresse die agiert.
Und mit dieser IP-Adresse kann ich dann über einen bestimmten Weg herausfinden, in welcher
Region die sich aufhält.
Ich entschuldige mich kurz, dass ich mich mehrere Tage nicht gemeldet habe.
Dann schicke ich ihr – einfach nur mit dem Wort: „Hier“ den Link…
Ehrlich gesagt bin ich ein bisschen aufgeregt, ob das jetzt so klappt.
Sollte Maria draufklicken, landet sie einfach nur auf der Website der deutschen Bank.
Das hab ich vorher so festgelegt.
Hauptsache irgendwas mit Geld, dacht ich mir, damit sie nicht sofort misstrauisch wird.
…Und Volltreffer.
IP-Adresse… Kopiere die jetzt raus.
Okay, jetzt wird's spannend.
Dann kopiere ich die hier rein.
What?
Okay, wir haben was.
Und zwar wird mir angezeigt… Country: Benin.
Das ist, soweit ich weiß, in Afrika.
Und City: Cotonou… Cotonou - Hast du das schonmal gehört?
Hier, sogar mit Karte.
Cotonou..
What the fuck?
Wo ist Cotonou?
So ich scrolle nochmal raus.
Porto Novo, Lagos.
Ja, also Benin, das ist am Golf von Guinea.
Direkt zwischen Togo und Nigeria.
Natürlich nur, wenn die Person kein VPN nutzt.
Um das herauszufinden, schreibe ich nochmal ein paar Fake-Profile an, um denen diesen
Link unterzujubeln.
Wenn's dann noch einen Benin-Treffer gibt, haben wir quasi die Bestätigung.
Womit ich nicht gerechnet habe: Kein einziges Fake-Profil reagiert mehr auf meine Nachrichten.
Über mehrere Tage nicht.
Vielleicht steckt da ne Gruppe hinter?
Vielleicht haben die das mit dem Link gerafft und sprechen sich ab?
Ich versuch trotzdem weiter mein Glück.
In der Zwischenzeit guck ich mir nochmal die Bankverbindungen an, die mir die Fake-Profile
geschickt haben.
Per IBAN-Checker überprüfe ich, ob‘s irgendwelche Gemeinsamkeiten gibt.
Und ja: Alle Bankverbindungen gehören zur selben deutschen Bank: N26 – eine reine
Online-Bank mit Sitz in Berlin.
Auch das Fake-Profil von Sarah hat hier ein Konto.
Sarah erzählt mir, dass sie schon alle notwendigen Unterlagen bei der Bank eingereicht hat, um
das Konto sperren zu lassen.
Die Antwort der Bank:
..dass man sich bemühen wird, das Konto mit den betrügerischen Aktivitäten zu finden,
man mir aber aus Datenschutzgründen nichts weiter dazu sagen kann und alle relevanten
Informationen würde ich dann ja von der Polizei erfahren.
Dann habe ich diese Bank darauf hingewiesen, dass ich das als Widerspruch empfinde, wenn
man einerseits sagt: „Okay, wir glauben, es ist nicht dein Konto.
Deswegen können wir dir aus Datenschutzgründen keine Informationen zu diesem Konto geben.“
Aber andererseits dieses Konto auch nicht sperrt, wenn es offensichtlich nicht mein Konto ist.
Was ist das für eine Bank, bei der Betrüger offenbar so easy an Fake-Konten kommen?
Denn: alle Konten sind auf die Klarnamen der Opfer eröffnet.
Vielleicht auch mithilfe der Perso-Fotos?
Die Bank präsentiert sich auf ihrer Website als innovativ, jung, anders.
Wie'n klassisches Start-Up.
Mein Eindruck der Gründer: so Typ Unternehmensberater.
Wie genau nimmt die Bank es mit der Sicherheit?
Auf dem YouTube-Channel der Bank findet sich ein Video in dem erklärt wird, wie man seine
Identität bei der Kontoeröffnung bestätigt:
Per Selfi-Video-Call und indem man – wie hier – seinen Perso vor die Kamera hält.
Man kann sich bei N26 aber auch per Foto-Ident legitimieren.
Es genügen also einfach nur Fotos vom Perso zur Kontoeröffnung - Fotos, die den Betrügern vorliegen.
Dazu schreibt die Bank auf der Website: „Der Großteil unserer Kunden außerhalb Deutschlands
verwendet das Foto-Identifizierungsverfahren.“
Für Kunden mit deutschem Wohnsitz ist Foto-Ident nicht erlaubt.
Gibt es vielleicht eine Sicherheitslücke?
Wie ist es möglich, dass die Betrüger trotzdem im Namen der Opfer Konten eröffnen, obwohl
alle Opfer ihren Wohnsitz in Deutschland haben?
In der Vergangenheit stand die Bank schon mehrmals wegen Sicherheitsbedenken in den Schlagzeilen.
Dazu skype ich mit Philipp Alvarez.
Er ist Journalist und hat sich in der Vergangenheit schon intensiv mit N26 beschäftigt.
Hallo!
Hi Philipp!
Der erste große Vorfall, der war auf diesem Congress vom Chaos Computer Club, da hat ein
Experte gezeigt, wie leicht man die Sicherheitsmechanismen überlisten kann.
Dass man quasi fremde Konten übernehmen kann.
Letztes Jahr hat dann die Bankenaufsicht Bafin interne Sicherungsmaßnahmen angeordnet.
Die mussten dann, wenn ich die Zahl richtig im Kopf habe, 50.000 Kunden nochmal neu identifizieren,
um… quasi nachvollziehen, dass es wirklich die Personen sind, die das Konto eröffnet
haben laut den Daten, die N26 hat.
Das ist auch wohl was passiert.
Sie haben dann diese Teams aufgestockt.
Aber es blieb immer der Eindruck zurück, dass die immer nur so viel machen, wie eben
grade notwendig ist, und auch immer wieder neue Vorfälle in Kauf nehmen, weil anders
lässt sich das ja nicht erklären, dass es so oft zu Zwischenfällen kam.
Das ist sein Meinung.
Ich möchte mit N26 sprechen.
Ein persönliches Interview – nicht möglich.
Also gibt's meine Fragen per Mail.
Wie sicher stuft die Bank die drei Identifizierungs-verfahren – Foto-, Video-, oder Post-Ident – jeweils ein?
„Die drei genannten Identifizierungsverfahren entsprechen den europäischen geldwäscherechtlichen
Vorgaben und sind von den zuständigen Regulierungsbehörden genehmigt und akzeptiert.“
Ja, und dann wollte ich natürlich die Antwort zur Frage aller Fragen wissen:
Wie erklären Sie sich die Eröffnung deutscher Konten mithilfe des Foto-Ident-Verfahrens,
obwohl Sie laut ihrer Website Kunden mit deutschem Wohnsitz nur die Identifikation per Video-
oder Post-Ident ermöglichen?
Und hierauf war die Antwort von N26: „In Deutschland lebende Kunden können sich grundsätzlich
nur per Video-Ident-Verfahren ausweisen.
In seltenen Ausnahmefällen verwenden wir das Postident-Verfahren.“
Die entscheidende Frage, wie die Betrüger das schaffen, bleibt also offen.
Und dann ist da noch Facebook … Die bieten ja schließlich überhaupt erst die Plattform
für die ganze Betrugsmasche.
Wie gehen die gegen Fake-Profile vor?
Ich habe regelmäßig, das bedeutet, am Tag 2-3 Mal das Profil gemeldet.
Aber es wurde niemals etwas unternommen und diese Profile wurden nicht von Facebook gelöscht.
Ebenso habe ich viele meiner Facebook-Freunde gebeten, auch diese Profile zu melden.
Und das haben sie auch getan.
Einen Tag später kommt dann das: Facebook habe das gemeldete Profil überprüft
aber keinen Verstoß gegen die Gemeinschaftsstandards festgestellt.
Wie kann das sein, dass Facebook solche klar erkennbaren Fake-Accounts nicht löscht?
Ein Facebook-Sprecher antwortet mir hierzu:
„Wir bedanken uns für diesen Hinweis.
Wir haben den entsprechenden Account entfernt, weil er gegen unsere Richtlinien verstoßen hat.
Unsere Sicherheitsmaßnahmen wurden in diesem Fall mit gestohlenen Ausweisdokumenten umgangen.
Wir haben das Problem erkannt und arbeiten bereits intensiv daran, unsere Systeme entsprechend anzupassen."
Facebook‘s Sicherheitsmaßnahmen wurden mit gestohlenen Ausweisdokumenten umgangen.
Genau DAS ist doch das Problem.
Die Betrüger haben es geschafft, selbst Facebook zu täuschen.
Sarahs‘ Fake-Profile sind mittlerweile immerhin gelöscht – einige Fake-Profile anderer
Opfer sind allerdings nach wie vor online.
Das ironische an der Sache: Für meine Recherche ist es gut, dass Facebook nicht direkt alle
Fakes löscht.
Nach einer Woche meldet sich ein Fake-Account doch noch zurück.
Auch dieses Profil versucht, die Betrugsmasche mit mir abzuziehen.
Von mir gibt's als Antwort…den Link…und… sie klickt drauf.
Und tatsächlich - auch diese zweite IP-Adresse führt nach Cotonou, Benin.
Auch wieder Westafrika, genau der gleiche Ort, wie bei der anderen IP-Adresse.
Das heißt… Das ist kein Zufall.
Für mich heißt das: Konfrontation – und zwar JETZT.
Ich gebe mich als Journalist zu erkennen, konfrontiere das Profil mit meiner Recherche.
Ja, uns bleibt jetzt erstmal nichts anderes übrig, als zu warten.
Mein Herz klopft.
Sie schreibt… auf französisch.
Tja, wenn man jetzt französisch könnte.
Oh, ja.
Google translate sagt mir: „Geh und probier‘ den Penis deiner Mutter!“
Also er startet mit einer Beleidigung.
So, was haben wir als nächstes?
Dann haben wir hier sowas.
Was heißt das?
„Bastard, steigt aus.
Oder steig aus.“
Vielleicht meint er auch mich damit.
Wenn sie mir noch einmal schreiben, bin ich in Benin, und sie wissen, was wir in Benin tun.
Mein so und so ist fertig.
Was?
Okay, sie hat's jetzt auf deutsch übersetzt und schreibt: „Ich bin in Benin.
Ich werde dem Fetisch deinen Namen geben.“
What the fuck?
Es gibt ja oben rechts bei Facebook diesen Video-Call-Button.
Und ich würd‘ sagen, ich probier's einfach mal, oder?
Irgendwann hab ich keinen Bock mehr zu sehen zu sein.
Wer weiß, was die da im Hintergrund treiben.
Abgebrochen.
Was war das denn bitte?
Ernsthaft?
Das war ein Arsch? Ich hab das überhaupt nicht erkannt.
Ok, ich probiere es jetzt noch ein letztes Mal.
Ich weiß nicht, was ich dazu sagen soll, ey.
Die sind da mit mehreren Leuten, machen sich da einen Spaß draus.
Also denen ist das scheiss egal.
Denen ist das scheiss egal, dass die da irgendwelche anderen Leute abziehen.
Okay, ich glaube, er hat mich blockiert.
Da steht jetzt, die Person ist derzeit nicht verfügbar, was auch immer das bedeutet.
Ich habe jetzt schnell einen Screenshot gemacht.
Wer sind diese Jungs?
Ich skype als letzten Versuch die Journalistin Katrin Gänsler an.
Sie lebt in Cotonou in Benin – und sie ordnet mir aus ihrer Erfahrung ein, wer in Westafrika
häufig hinter solchen Online-Betrugsmaschen steckt.
Das sind häufig junge Männer.
Es sind häufig Männer, die schon auch ausgebildet sind, vielleicht auch studiert haben.
Und eben auch Leute, die Schwierigkeiten haben sonst einen Job zu finden.
Da ist Internetbetrug eine verlockende Alternative – vor allem finanziell.
Bei einem Land, bei dem der Mindestlohn so bei 60 – 65 Euro liegt, ist das eine ganze Menge.
60 – 65 Euro im Monat, oder wovon reden wir hier gerade?
Im Monat, ja!
Ach du Schande!
Überrascht dich das, dass jetzt unsere Spur nach Benin geführt hat?
Benin, jetzt hier vor allem Cotonou… Cotonou ist hier die größte Wirtschaftsmetropole.
Da beobachtet man diese Internetkriminalität auch seit den 2000er Jahren.
Insofern ist es gar nicht so überraschend.
Und was mit der Polizei – macht die nichts?
Die Polizei hier hat so eine Spezialeinheit zur Bekämpfung von Internetkriminalität geschaffen.
Hat 2017 73 Fälle verfolgt.
Da sieht man, dass es nicht so wahnsinnig viel ist.
Kein Wunder also, dass die keine Angst haben erwischt zu werden… Ich hab übrigens auch
mit der Polizei hier in Deutschland gesprochen.
Die kennen die Masche zwar – sagen aber auch: Sobald die Spur aus dem EU-Ausland rausführt,
gibt's kaum eine Chance, die Betrüger ranzukriegen.
Unterm Strich bleibt bei mir der Eindruck, dass die Opfer dieser Betrugsmasche ziemlich
allein gelassen werden – die, die Geld verlieren und VOR ALLEM die, deren Identität für die
Betrugsmasche geklaut und missbraucht wird – so wie bei Sarah.
Immerhin: Das Bank-Konto, das in ihrem Namen eröffnet wurde, scheint mittlerweile gesperrt
oder gelöscht zu sein.
Zur Überprüfung haben wir darauf einen Cent überwiesen – das Geld kam zurück.
Welche Frage aber nach wie vor offen ist: Wie konnten die Betrüger Konten mit den gestohlenen
Personalausweis-Fotos eröffnen, wenn das Foto-Ident-Verfahren laut N26-Richtlinien
nur für Menschen mit Wohnsitz im Ausland möglich ist.
Wenn ihr Opfer von Identitätsdiebstahl werdet, dann geht auf jeden Fall zur Polizei und erstattet
Anzeige – ganz egal, wie unangenehm euch das sein sollte.
Damit es aber erst gar nicht so weit kommt.
Bitte, bitte, bitte – die goldene Regel beachten: Schickt auf gar keinen Fall irgendwelchen
Fremden Fotos von eurem Personalausweis zu, das ist eigentlich das aller Wichtigste.
Aber vielleicht seid ihr trotzdem schonmal in irgendeine Online-Betrugsmasche reingetappt.
Falls euch das passiert ist, dann schreibt mir gerne einmal unten in die Kommentare und
berichtet von euren Erfahrungen.
Ansonsten habe ich euch hier nochmal ein Video verlinkt von den Kollegen von Strg_f – die
haben zu einem Online-Shop recherchiert, der Nazi-Propaganda vertreibt.
Nächste Woche gibt's dann auf unserem Zweitkanal das Q&A von mir, in dem ich auf eure wichtigsten Fragen antworte.