Ein im amtlichen Stil gehaltenes Schreiben macht Druck: Unter dem Betreff “Prüfung Ihrer Betriebsstätte” und mit dem Hinweis “Terminsache” werden wir darüber informiert, dass keine Überprüfung unserer Betriebsstätte vor Ort mehr möglich sei und wir nun selbst aktiv werden müssten. Als Abgabeschluss für die Rücksendung ist der 15.12.2010 vorgegeben.
Ui, das muss doch wichtig sein. Oder etwas nicht?
Wohl eher nicht: Eine Firma möchte gerne Erste-Hilfe-Kästen verkaufen und versucht dabei offensichtlich, über den Aufbau von Druck (“Terminsache”, “Abgabeschluss 15.12.2010″) und mittels des auf “wichtig” getrimmten Aussehen des Schreibens (Barcode, Vorgangsnummer, Betreff “Prüfung Ihrer Betriebsstätte”, usw.) die Verkaufszahlen zu erhöhen.
Nach Adressbuchschwindel und Domainrenewal-Schwindel nun also auch noch Erste-Hilfe-Kasten-Schwindel? 
Wenn man eine gewisse Größe erreicht hat, bleiben Zufälle nicht aus. So auch in einem aktuellen Fall, bei dem uns die betrügerische Bestellung von Hostingleistungen aufgefallen ist.
Die dort genutzten Kundendaten waren zwar echt, wurden aber von einem Täter genutzt um seine eigene Identität zu verschleiern. Für den Betroffenen ist das natürlich ärgerlich.
Nun haben wir festgestellt, dass der Betrüger für seine Anmeldung die Daten einer Person genutzt hat, die selbst seit vielen Jahren Kunde bei uns ist. Wir konnten unseren – absolut unverdächtigen – Partner daher direkt über den Missbrauch seiner Daten informieren. Zumindest seine Bankverbindung hat er daraufhin von der eigenen Homepage entfernen können und ist nun vorgewarnt, falls von irgendwelchen anderen Firmen auf einmal Abbuchungen oder Mahnungen eintreffen sollten.
Schön, dass der Kunde sich trotz der ernsten Thematik über den Hinweis von uns gefreut hat 
.
Angst und Verunsicherung sollen Betrügern derzeit dabei helfen, unbedarfte Anwender um 100 Euro zu betrügen. Dazu versenden die Täter eine personalisierte Massenmail im Namen eines (realen, jedoch unbeteiligten) Anwaltes. Dem jeweiligen Empfänger wird darin vorgeworfen, sich durch Urheberrechtsverstöße strafbar gemacht zu haben. Eine Strafanzeige sei bereits erstattet worden, auf dem Wege einer Schadensersatzzahlung in Höhe von 100 € ließen sich jedoch Maßnahmen wie eine Hausdurchsuchung noch abwenden. Für die Abwicklung wird ein Payment-Anbieter angegeben, bei dem eine Guthabenkarte gekauft und die zugehörige PIN-Nummer dann an eine E-Mailadresse gesendet werden soll:
Guten Tag,
in obiger Angelegenheit zeigen wir die anwaltliche Vertretung und Interessenwahrung der Firma V******** GmbH, M******* Str. **, 4**** E****, an.
Gegenstand unserer Beauftragung ist eine von Ihrem Internetanschluss aus im sogenannten Peer-to-Peer Netzwerk begangene Urheberrechtsverletzung an Werken unseres Mandanten. Unser Mandant ist Inhaber der ausschliesslichen Nutzungs- und Verwertungsrechte im Sinne der §§ 15ff UrhG bzw. § 31 UrhG an diesen Werken, bei denen es sich um geschutzte Werke nach § 2 Abs 1 Nr. 1 UrhG handelt.
Durch das Herunterladen urherberrechtlich geschutzer Werke haben sie sich laut § 106 Abs 1 UrhG i.V. mit §§ 15,17,19 Abs. 2 pp UrhG nachweislich strafbar gemacht. Bei ihrem Internetanschluss sind mehrere Downloads von musikalischen Werken dokumentiert worden.
Aufgrund dieser Daten wurde bei der zustandigen Staatsanwaltschaft am Firmensitz unseres Mandanten Strafanzeige gegen Sie gestellt.
Aktenzeichen: 350 Js ***/10 Sta *****
Ihre IP Adresse zum Tatzeitpunkt: **.***.**.***
Ihre E-Mail Adresse: *****@**********
Illegal heruntergeladene musikalische Stucke (mp3): 13
Illegal hochgeladene musikalische Stucke (mp3): 21
Wie Sie vielleicht schon aus den Medien mitbekommen haben, werden heutzutage Urheberrechtverletzungen erfolgreich vor Gerichten verteidigt, was in der Regel zu einer hohen Geldstrafe sowie Gerichtskosten fuhrt. Link: Urheberrecht: Magdeburger muss 3000 Euro Schadensersatz zahlen
Genau aus diesem Grund unterbreitet unsere Kanzlei ihnen nun folgendes Angebot: Um weiteren Ermittlungen der Staatsanwaltschaft und anderen offiziellen Unannehmlichkeiten wie Hausdurchsuchungen, Gerichtsterminen aus dem Weg zu gehen, gestatten wir ihnen den Schadensersatzanspruch unseres Mandanten aussergerichtlich zu loesen.
Wir bitten Sie deshalb den Schadensersatzanspruch von 100 Euro bis zum 18.10.2010 sicher und unkompliziert mit einer *****-Karte zu bezahlen. Eine ***** ist die sicherste Bezahlmethode im Internet und fur Jedermann anonym an Tankstellen, Kiosken etc. zu erwerben. Weitere Informationen zum ***** Verfahren erhalten Sie unter: http://www.*****.***/de Senden Sie uns den 19-stelligen Pin-Code der 100 Euro ***** an folgende E-Mailadresse zahlung@*****.info
Geben Sie bei Ihre Zahlung bitte ihr Aktenzeichen an!
Sollten sie diesen Bezahlvorgang ablehnen bzw. wir bis zur angesetzten Frist keinen 19- stelligen ***** PIN Code im Wert von 100 Euro erhalten haben, wird der Schadensersatzanspruch offiziell aufrecht erhalten und das Ermittlungsverfahren mit allen Konsequenzen wird eingeleitet. Sie erhalten dieses Schreiben daraufhin nochmals auf dem normalen Postweg.
Hochachtungsvoll,
Rechtsanwalt *** ***
Selbstverständlich sollte man auf diese und ähnliche Drohmails auf keinen Fall reagieren. In “realen” Fällen werden sich die Anspruchsteller kaum per E-Mail sondern auf dem Postwege melden und ein zivilrechtlich geleisteter Schadensersatz führt sowieso nicht automatisch zur Einstellung eventueller strafrechtlicher Ermittlungen.
Ärgerlich ist der Fall übrigens auch für den als Absender angegebenen Rechtsanwalt, dessen guter Name unter den unerwünschten Massenmails leidet. Zumal die Täter eine Internetadresse nutzen, die mit Ausnahme der Domainendung (.info statt .de) mit der echten Anwaltswebseite identisch ist. Es lohnt sich daher, immer mit wachen Augen und geschärftem Verstand im Netz unterwegs zu sein, denn nicht alles was in einer Mail oder auf einer Webseite steht stimmt auch.
Das Lastschriftverfahren ist ja wirklich praktisch – aber auch nervig, wenn jede Menge unberechtigte Abbuchungen vom eigenen Konto erfolgen. So wie derzeit bei uns. Gleich fünf Mal haben die Firmen “Webbilling.com” und “Eurobill AG” Beträge zwischen 20 und 70 Euro belastet, ohne dass wir mit diesen Unternehmen in Kontakt stehen oder einen Auftrag erteilt haben.
Wir gehen davon aus, dass sich ein oder mehrere Dritte durch die unberechtigte und betrügerische Nutzung unserer Bankdaten bei den o.g. Dienstleistern Zugriff auf kostenpflichtige Angebote erschlichen haben.
Den Lastschriften haben wir jedenfalls widersprochen und die Firmen informiert – verbunden mit der Aufforderung, weitere Abbuchungen von unserem Girokonto zu unterlassen. Ob das viel bringt, steht derzeit aber in den Sternen. Denn beide Unternehmen sitzen im Ausland und machen keinen … sagen wir: sehr vertrauenswürdigen Eindruck. Aber vielleicht werden wir ja positiv überrascht.
Zu hoffen bleibt nun, dass sich die Verursacher ermitteln lassen. Dies wird natürlich auch davon abhängen, ob z.B. anhand der angegebenen Daten oder der vorgenommenen Verifizierung (Anruf? SMS? usw.) Ermittlungsansätze ersichtlich sind – und ob die beiden Unternehmen daran überhaupt ein Interesse haben. Im Falle weitere Abbuchungen werden wir aber auch selbst aktiv werden und von unserer Seite aus Anzeige erstatten.
Was tut der einfallsreiche Schuldner, wenn er seine offenen Posten nicht zahlen möchte und der Anwalt mahnt? Ganz klar: Er fälscht einfach eine Kündigungsbestätigung (“Schließung Ihres Kundenkontos”) mit Rechnung in Höhe von 10 € für die Accountschließung und macht einen riesigen Terror wegen der Sauerei, die wir uns da erlauben. Und glaubt auch noch, damit durchzukommen.
Basis des Fakes war übrigens eine Rechnung von uns – für eine Sperrgebühr aufgrund von Zahlungsverzug.
PS: Weder sehen unsere Kündigungsbestätigungen so aus noch gibt es eine Gebühr für die Accountschließung. Statt dessen bieten im Gegenteil sogar eine unkomplizierte Onlinekündigung mit eingebauter Kulanz bei knapper Versäumnis der Kündigungsfrist an. Denn wer bei uns bleibt, soll es als zufriedener Kunde tun – und nicht aufgrund von Zwängen, Klauseln oder Tricks. Dazu tragen u.a. auch unser Service-Level-Agreement und die Zufriedenheitsgarantie bei, welche ein jederzeitiges Sonderkündigungsrecht beinhaltet. Wobei sowieso fast alle aktuellen Tarife monatlich kündbar sind.
Nicht nur wir selbst haben immer wieder mit Betrugsfällen und “Fake-Bestellungen” zu kämpfen (z.B. hier oder hier), sondern auch unsere Reseller. Dabei werden wir auch nach möglichen Schutzvorkehrungen und Maßnahmen gefragt, um die Anzahl solcher Vorfälle eindämmen zu können.
Grundsätzlich gibt es natürlich Mittel und Wege, um in betrügerischer Absicht erteilte Aufträge mit einer höheren Wahrscheinlichkeit erkennen und zurückweisen zu können. Erster Ansatz dafür ist eine Überprüfung der angegebenen Kundendaten auf offensichtliche Unstimmigkeiten. Denn die Richtigkeit der Bestellung einer Domain “spamversand.tld” eines Dagobert Duck aus Entenhausen darf durchaus angezweifelt werden. Nun sind aber natürlich die wenigsten Fälle so eindeutig und es gibt ja duchaus auch ungewöhnliche Namen und Adressen, die zwar seltsam anmuten aber tatsächlich richtig sind. Gleichzeitig darf man sich keiner falschen Illusion hingeben: Wer betrügen will, nutzt halt gegebenenfalls einfach “echte” Firmen- oder Personendaten, z.B. aus dem Internet oder Branchenbuch. Was auch der Grund ist, weshalb wir nicht mehr automatisch einen Abgleich von Anmeldedaten mit Datenbanken vornehmen, um die Gültigkeit der Adresse zu verifizieren. Denn wenn die Onlinebestellung eine Meldung “Entschuldidgung: Die Straße ‘Dasisteinfakehaha 1′ ist nicht bekannt” ausgibt, wird geschwind ein echter Straßenname eingetragen. Am Ende schadet eine solche Überprüfung nur mehr, als sie nutzt, da in jedem Fall unbeteiligte Dritte ins Visier möglicher Ermittlungen geraten.
Was man ansonsten tun kann (und tun sollte), hängt vom Einzelfall und der aktuellen Lage ab. Im Normalfall ist ja z.B. bei uns eine Bestellung mittels SMS-Freischaltung ohne menschliche K0ntrolle möglich, um Wartezeiten für Neukunden zu vermeiden. Bei Vertragszusendung erfolgt statt dessen eine Sichtkontrolle der Bestellung. Bei Auffälligkeiten sind eine individuelle Kontaktaufnahme zum Kunden oder zusätzliche Überprüfungen im Einzelfall möglich. Bei grundsätzlichen Auffälligkeiten (unüblich viele festgestellte Anmeldeversuche mit falschen Daten usw.) sind zusätzliche Maßnahmen wie eine Einschränkung der SMS-Freischaltung, eine Überprüfung der IP-Nummer und Domainnamen der Bestellung (“Max Muster aus München ordert mit einer IP aus Afrika die Domain EineDeutscheBank-Onlineservices.tld”) oder insgesamt intensivere Vorabrücksprachen bei Bestellern weitere mögliche Maßnahmen.
Was aber kann man tun, wenn ein betrügerisch erteilter Auftrag freigeschaltet wurde? Hilft die erste Rücklastschrift, um dem Täter auf die Schliche zu kommen? – Leider nicht. Denn auch “echte” Kunden geben mal aus Versehen falsche Kontodaten an (die wir in der Regel ausfiltern vorab, was jedoch nicht bei allen Banken zu 100% funktioniert), lassen die Lastschrift zurückgehen oder haben schlichtweg keine Deckung auf dem Konto. Hier bei einem neuen Kunden von vorne herein etwas “Böses” anzunehmen und darauf z.B. mit einer Kündigung, Sperrung oder Konteneinschränkung zu reagieren, wäre nicht sehr kundenfreundlich und würde vielen seriösen, neuen Partnern schaden. Spätestens nach weiteren zwei Wochen wird sich die Problematik jedoch zumindest teilweise erledigen, weil bei anhaltenden offenen Posten der Account temporär deaktiviert wird. Zudem melden sich in der Regel auch Inhaber von missbräuchlich genutzten Konten, was dann natürlich eine entsprechende Überprüfung der Sachlage ermöglicht.
Wirklich viel ist das alles nicht, denn es bleiben natürlich weitere Lücken, durch die Straftäter unsere Dienste missbräuchlich verwenden können. Eine 100%ige Sicherheit ist eben nicht möglich und jede zusätzliche Überprüfung schadet primär real existierenden Personen/Firmen weil es zu Umgehungsmaßnahmen bei Betrügern kommt. Auch schärfere Reaktionen nach Rückbuchungen von Lastschriften führen primär dazu, dass echte Kunden getroffen werden. Die Täter eröffnen hingegen zur Not einfach ein neues Konto.
Nur mit einer teuren sowie kaum praktikablen Vollidentifizierung von Bestellern wäre das Missbrauchsrisiko von Onlinediensten durch Fakeaufträge wirksam einzudämmen. Aber welcher Kunde wäre schon bereit, die damit verbundenen Mehrkosten zu tragen und ein paar Tage zu warten, bis sein Account freigeschaltet ist? Also verbleibt nur, mit dem hier besprochenen Problem zu leben und so gut es eben möglich ist dagegen vor zu gehen. Ohne, dadurch echte Kunden spürbar zu beeinträchtigen oder sich auf datenschutzrechtliches Glatteis zu begeben. Manchmal ist das zwar frustrierend, aber der einzige vernünftige Weg.
Last but not least noch ein Hinweis: Wenn sich Betrugsbestellungen von verschiedenen Personen häufen, könnte dies ein Indiz dafür sein, dass in der Vergangenheit Freischaltungen zu schnell und ohne ausreichende “Hürde” (SMS -> Nummer wird bekannt / Faxzusendung) vorgenommen worden sind und nun in einschlägigen Kreisen der entsprechende Dienst als “Tipp” kursiert.
Der “Spaß” mit GMX geht weiter. Zur Erinnerung: Wir sind Opfer eines Datenmissbrauchs, da ein Betrüger bei GMX unter Angabe u.a. unserer Adress- und Kontodaten eine Bestellung getätigt hat.
Nachdem wir inzwischen schriftlich per Einschreiben mitgeteilt haben, dass ein Betrugsfall vorliegt und wir den Vertrag mit GMX nicht abgeschlossen haben, hat uns folgende Reaktion darauf erreicht:
Wir haben Ihre Ausführungen zur Kenntnis genommen. (…) In unserer Nachricht vom 18. und 28.11. haben wir Sie nochmals, wie auch bei Vertragsabschluss, über die Vertragsbedingungen informiert. Bitte beachten Sie, dass dieser Account online am 07.10.2009 20:33:35 Uhr über Ihr GMX-Postfach Leon_****@gmx.*** unter Ihrem (…) Namen angelegt worden ist. Hierzu möchten wir Ihnen mitteilen, dass Sie bei der Bestellung des Premiumdienstes im Rahmen des Bestellvorgang die dazugehörigen Nutzungsbedingungen erfolgreich gelesen und akzeptiert haben.
Was, bitteschön, ist an der Aussage “Wir haben die Bestellung nicht getätigt, es handelt sich um einen Missbrauch unserer Adress- und Kontodaten” so schwer zu verstehen, dass man darauf nicht mal in der Antwort eingehen kann? Zumal unser Schreiben (in Folge einer fruchtlosen Faxmitteilung nach Rückgabe der Lastschrift und einem sehr unerfreulichen Telefonat mit GMX) doch an sich missverständlich und eindeutig gewesen sein dürfte:
Wie bereits an anderer Stelle berichtet, werden auch wir teilweise mit betrügerischen Bestellungen konfrontiert. Aktuell haben wir mal wieder so einen Fall, bei dem aus dem Ausland ein Vertrag abgeschlossen worden ist. Hierbei gab es zum Glück Auffälligkeiten, so dass wir dies noch vor der Freischaltung bemerken konnten. Manche Straftäter gehen da leider deutlich subtiler vor und verwenden “echte” Adressdaten unter Nutzung deutscher IP-Nummern (gehackte Rechner?), obwohl sie selbst primär nicht in Deutschland sitzen. Die Ermittlung der Täter ist in solchen Fällen natürlich nicht gerade einfach, auch wenn das durchaus gelingen kann.
Verwendet werden solche Accounts dann in der Regel für den Versand von Spam-Mails oder Phishing, weshalb bereits so einige Zeichenfolgen in Domainnamen auf internen Blacklists stehen, um eine automatisierte Freischaltung zu verhindern. “Interessant” an der aktuellen betrügerischen Bestellung ist übrigens, dass sie mit einem anderen Fall von Anfang des Jahres zusammen hängt (identische IP-Nummer). Auch damals ist der Versuch erfolglos verlaufen, aber man kann es ja noch mal probieren. Wobei damals die Fake-Anmeldung nicht mit ausländischen Kontaktdaten erfolgt ist, sondern als Deutscher-Kunde mit Lastschriftzahlung.
Kleinigkeit am Rande: Eine Google-Suche nach der E-Mailadresse im Januar-Fall war ebenfalls aufschlussreich.
Screenshots: Stammdaten Fake-Bestellung Januar 2009, Stammdaten Fake-Bestellung November 2009, vom Besteller manuell nachbearbeiteter (und daher z.T. etwas kaputter) Vertrag
Ein unbekannter Dritter hat bei einem großen, deutschen E-Maildienstleister (GMX) eine Bestellung getätigt und dafür u.a. unsere betrieblichen Adress- und Kontodaten missbräuchlich genutzt. Nach Rückbuchung der Lastschrift und fruchtloser Faxstellungnahme bei GMX haben wir nun eine schriftliche Mahnung erhalten.
Nachdem auch ein telefonischer Erklärungsversuch nun gescheitert ist (und ziemlich hart abgebügelt wurde), mussten wir jetzt doch noch ein Fax und Einschreiben bemühen. Mal sehn, ob sich das zu einer Never-Ending-Story in den Inkasso-Mühlen dieses Unternehmens wird.
[Update: Jawohl, wird es.]
Wenn wir gerade bei dem Thema sind, hier mal ein paar Fakten zum Thema Fakebestellungen: ja, es gibt sie. Nicht massenhaft, aber als spürbares und lästiges Phänomen. Davor schützen kann man sich nur bedingt, da solche Täter zur Not z.B. einfach Originaladressdaten aus dem Telefonbuch nutzen. Zwar setzen Provider wie wir verschiedene Sicherheitssysteme ein. Zu glauben, dadurch jeden Betrugsfall ausschließen zu können, wäre jedoch illusorisch.
Sobald wir eine Bestellung unter Nutzung falscher Adressdaten feststellen, sperren wir in der Regel den Account und lassen durch unsere Anwälte Strafanzeige erstatten. Häufig führt dies auch zu Ermittlungsergebnissen, die jedoch teilweise in der Einstellung des Verfahrens münden und daraufhin im Wege der Zivilklage von uns weiterbetrieben werden. Nicht, weil sich das finanziell für uns lohnen würde. Sondern aus Prinzip, um das gar nicht erst einreißen zu lassen. Je nach Staatsanwaltschaft (bzw. Staatsanwalt) wird die Thematik aber auch durchaus ernst genommen und verfolgt.
Besonders schlimm sind Versuche, über uns Phishingdomains zu registrieren sowie Spamversand und natürlich insbesondere die Hinterlegung illegaler Inhalte. Diesbezüglich hört auch jegliches Verständnis für Relativierungen (“Besoffen. Minderjährig. Schwere Phase. Versehen.”) auf.
Auffällig ist übrigens, dass zunehmend bei Bestellungen durch Minderjährige jedes Fünkchen Schuldbewusstsein bei den Eltern fehlt, sondern eher noch uns als Provider Vorwürfe gemacht werden. Ein trauriger Umstand. Denn wer, wenn nicht die Eltern, sollten ihrem Kind vermitteln können, was richtig oder falsch ist? Im Kontrast dazu steht ein herzliches Schreiben (per Post und handgeschrieben), welches uns kürzlich in einem solchen Fall erreicht hat. Gerne haben wir uns daraufhin kulant und außergerichtlich geeinigt. Denn bei allem Ärger war das ehrliche Bemühen, die Angelegenheit ordentlich aus der Welt zu schaffen, ein positives und leider immer selteneres Erlebnis.
