Es vergeht kaum ein Monat, in dem nicht irgendein größer angelegter Betrugsversuch die Runde macht. In der jüngeren Vergangenheit mehrten sich etwa Anrufe, bei denen eine Computerstimme im Namen der "Austrian Police" eine Strafzahlung für ein angeblich begangenes Vergehen forderte. Ein Klassiker sind auch Anrufe von angeblichen Mitarbeitern von Microsoft und anderen Unternehmen, die sich Zugriff auf den Rechner ihrer Opfer erschleichen wollen.

Während Freunde und Familienmitglieder von mir damit immer wieder Erfahrung machen, waren ein oder zwei Anrufe bezüglich dubioser "Gewinnspiele" bisher der Gipfel meiner eigenen Erfahrungen. Abseits natürlich der üblichen Spam- und Phishing-Mails, die ohnehin jeden betreffen und gelegentlich durch den Filter meines E-Mail-Anbieters schlüpfen. Bei meinem jüngsten Ausflug auf den österreichischen Onlinemarktplatz Willhaben war es dann aber doch vorbei mit dem Aufenthalt auf der sprichwörtlichen "Insel der Seligen". Ich durfte Bekanntschaft schließen mit einer dreisten und durchaus gut gemachten Betrugsmasche.

In meinem Wohnzimmer fristet ein Rudergerät schon länger ein tristes Dasein. Nach ein paar Jahren relativ regelmäßiger Verwendung dient es nunmehr hauptsächlich als behelfsmäßige Ablage für Kleidung. Schade um den Platz und natürlich auch um die sportliche Ertüchtigung, der sich zumindest jemand anderer damit hingeben könnte. Also wanderte die Maschine zum fairen Preis – die Hälfte des aktuellen Preises im Einzelhandel für das Markengerät – auf die Plattform, garniert mit ausführlicher Beschreibung und zwei aussagekräftigen Fotos. Selbstabholung only.

"Guten Abend! Noch verfügbar?"

Es dauerte nur wenige Stunden, da meldete sich bereits ein Nutzer über den Chat der Plattform. "Guten Abend! Noch verfügbar?", so die durchaus übliche Botschaft. Auf meine Bestätigung hin wurde der Kontakt auf Whatsapp verlagert – zur Vereinbarung der Abholung, wie ich annahm.

Dort kontaktierte mich schließlich unter dem Namen "Paul Hutter" (der in Anbetracht des weiteren Verlaufs garantiert erfunden ist) jemand über eine deutsche Handynummer. Seine Frau habe mich auf Willhaben ob des Rudergeräts angeschrieben. Da er gerade nicht im Lande sei, erkundigte er sich wegen eines postalischen Versandes.

Während sich erste Zweifel bei mir breitmachten, hielt ich unmissverständlich fest, dass ich das Rudergerät nur gegen Selbstabholung anbiete. Der Versand sei aber sehr einfach und das Einpacken werde der Kurier übernehmen, so die Antwort – ein weiterer Grund für Skepsis, zumal ein Transport mit Einpackdienst wohl so teuer ist, dass sich der Kauf eines gebrauchten Rudergeräts kaum noch auszahlen dürfte. Um zu sehen, wie mein Gegenüber mich nun überzeugen will, sah ich aber noch davon ab, meinen Verdacht zu äußern.

Schneller Abbruch bei Konfrontation

Der angebliche Interessent schickte schließlich ein Bild durch, das – mit dem Logo von Willhaben ausgestattet – einen mir bislang nicht bekannten Versandweg beschriebt. Das mitunter bemühte Deutsch nebst fehlendem Satzende am Schluss, die Erwähnung einer Geldstrafe sowie die uneinheitliche Aufmachung verdeutlichten abermals, dass es sich um einen Betrugsversuch handelte. Allerdings einen, der gerade auf Menschen mit wenig Interneterfahrung bzw. Erfahrung mit Online-Verkäufen glaubwürdig wirken könnte.

Auch ein kurzer Check auf der Willhaben-Website ergab keinen Hinweis auf einen zweiten Versandservice abseits von Paylivery. Das funktioniert allerdings anders, besitzt primär Treuhandfunktion und kann zudem ausschließlich über den plattformeigenen Chat im Browser und der App genutzt werden.

Ich beschloss also, den Betrüger damit zu konfrontieren, der abermals auf die Grafik verwies. Die Bitte nach einem weiterführenden Link blieb, wenig überraschend, unbeantwortet. Der geäußerte Phishing-Verdacht mündete einige Sekunden später in einer Blockierung meiner Nummer durch "Paul Hutter".

Phishing nach Kreditkartendaten

Wie es weitergeht, wenn man auf diesen Social-Engineering-Angriff hereinfällt, lässt sich auf einer umfangreichen Infoseite von Willhaben nachlesen. Man bekommt einen Link zugeschickt, der zu einer gefälschten Paylivery-Seite führt. Dort werden Kreditkartendaten (potenziell auch andere Daten wie etwa für den E-Banking-Login) abgefragt, die angeblich zur Auszahlung von Kaufbetrag und Porto dienen sollen. Freilich wandern sie nur in die Datenbank der Cyberkriminellen, die dann etwa versuchen können, sich selbst Geld zu überweisen oder die abgegriffenen Informationen weiterzuverkaufen.

Die Verkaufsplattform hat auch noch eine Reihe anderer Tipps auf Lager und warnt, dass Paylivery-Abwicklung, die nicht über den Chat erfolgt, stets ein Betrugsversuch ist. Zudem empfiehlt man, ausschließlich den Chat zu verwenden, die Zweifaktorauthentifizierung in Anspruch zu nehmen und als Verkäufer niemals Kreditkartendaten preiszugeben. Allerdings gibt es auch Grund zur Kritik am Betreiber. Denn es ist nicht möglich, andere Nutzer zu melden.

Man kann sie lediglich blockieren, um keine Nachrichten mehr von ihnen zu erhalten. Eine Funktion, Willhaben unkompliziert über betrügerische Aktivitäten in Kenntnis zu setzen, gibt es nicht. Lediglich der Umweg über das Support-Kontaktformular ist möglich. Das erhöht die Chance, dass solcherlei Betrugsversuche gar nicht erst gemeldet werden und die Hinterleute mit dem gleichen Konto weiterhin probieren können, Verkäufer hinters Licht zu führen – auch wenn das Anlegen eines Accounts keine große Hürde ist.

Statement Willhaben

Willhaben hat sich mittlerweile mit einer Stellungnahme zur Sache geäußert. Das Unternehmen betont, dass man offensiv vor den Phishing-Attacken warnt und auch im Chat Hinweise ausspielt, wenn erkannt wird, dass möglicherweise nach persönlichen Informationen wie Bankdaten, Kontaktinformationen oder Ausweisnummern gefragt wird. Zudem können Nutzer im Chat auch keine Links verschicken.

Eine seriöse Quantifizierung des Phishing-Problems ist laut der Plattform nicht möglich, auch weil die Nutzer von den Cyberkriminellen dafür häufig auf andere Kommunikationskanäle gelotst werden und die entsprechenden Nachrichten dafür sich nicht valide als Betrugsversuch einordnen lassen. Hinsichtlich der Möglichkeit, Nutzer zu melden, die betrügerisch Vorgehen, verweist man auf das Support-Kontaktformular. (gpi, 1.9.2022)

Update, 16:15 Uhr: Statement von Willhaben ergänzt.