Weihnachten würde in Westeuropa zu so einer Art Black Friday, urteilte kürzlich ein Betrugsexperte des Bundeskriminalamtes am Rande einer Sicherheitskonferenz. Tatsächlich kaufen derzeit viele Bundesbürger die Festtagsgeschenke verstärkt im Onlinehandel.

Das ist bequem und schützt vor Infektion, hat aber einige andere Risiken. Neben dem klassischen Identitätsklau steigt auch die Zahl der betrügerischen Fake-Shops im Netz rasant.

Der Identitätsklau kann dabei leider auf eine recht lange Tradition zurückblicken. Die Geschädigten merken das oftmals erst, wenn sie Post vom Inkassounternehmen erhalten. Dann müssen sie glaubhaft machen, dass sie eine bestimmte Ware weder bestellt noch erhalten haben.

Die Betrüger haben in solchen Fällen auf fremden Namen hochwertige Güter wie teure TV-Geräte oder HiFi-Anlagen bestellt und an ihr Fach in einer Packstation liefern lassen. Sie verkaufen dann die Geräte weiter und lassen einen anderen dafür zahlen.

Oftmals werden solche Bestellungen über erbeutete Accounts von Online-Plattformen vorgenommen. Einen solchen gestohlenen Amazon-Account inklusive Zugangsdaten zur Electronic Mail des eigentlichen Inhabers gibt es ab ungefähr 20 Euro auf Handelsforen im Darknet.

Die Kunden-Accounts inklusive Mail-Adresse samt Passwort beschaffen Call-Center und Agenturen mit Phishing-Mails sowie Social-Engineering-Angriffen.

erläutert Jochen Koehler, bei HP für Sicherheitslösungen zuständig.

So rufen sie zum Beispiel den Kunden eines Online-Marktplatzes an und berichten von einem Sicherheitsrisiko, dass sie abwehren müssten. Betrüger seien unterwegs, der Kunde brauche ein neues Passwort für seinen Account, doch zuvor müsse man einige Daten abgleichen. Arglos geben Kunden dann tatsächlich Benutzername und bisheriges Passwort am Telefon preis.

Mahngebühren in gefälschten Rechnungs-Mails sind auch sehr beliebt. Die werden dem Kunden zugesandt, und er soll die Angaben auf einer Marktplatz-Seite überprüfen und gegebenenfalls korrigieren.

Dafür muss er sich unter seinem Benutzernamen und mit seinem Passwort einloggen. Der mitgeschickte Link führt allerdings zu einer Fake-Anmeldeseite des angegebenen Online-Marktplatzes.

Immer häufiger fallen Kunden auch auf sogenannte Fake-Shops herein. Die locken per Mail mit günstigen Angeboten auf eine fingierte Bestellseite. Den Shop und die angebotene Ware gibt es gar nicht. Wer dann zum Beispiel eine total günstige Armbanduhr bestellt, ist sein Geld meist los und erhält natürlich keine Ware.

Recht neu ist die Auffforderung solcher Fake-Shops mit Paypal zu bezahlen, aber bei der Funktion "Geld senden" nicht die Zahlungsart für "Artikel und Dienstleistungen" auszuwählen, sondern  die Zahlung als privaten Transfer loszuschicken.

Zahlungen im privaten Transfer sind bei Paypal nämlich kostenlos, für Artikel und Dienstleistungen werden 35 Eurocent und rund 2,5 Prozent des Zahlungsbetrages fällig. Die könne der Kunde sich doch sparen, argumentieren die Fake-Shop-Besitzer. Oder sie argumentieren sogar, sie müssten dieses Transferentgelt ansonsten auf den Kaufpreis aufschlagen.

Der von Paypal garantierte Käuferschutz funktioniert allerdings nur bei der entgeltpflichtigen Überweisung, nicht beim privaten Transfer. Da ist das Geld dann in der Regel nicht mehr zurückzuholen.

Insgesamt gehen Sicherheitsexperten bei derartigen Online-Betrügereien von einer jährlichen Schadenssumme zwischen einer und zwei Milliarden Euro allein in Deutschland aus.