Dass sie online gleich zwei digitale Alter-Egos bei Facebook hatte, bemerkte Karin Landolt erst, als sich Freunde telefonisch und per E-Mail bei ihr meldeten. "Es gibt dich bei Facebook zwei Mal, warnten die", erzählt die Kommunikationschefin bei der Standortförderung der Stadt Winterthur. Erstaunt stellte die Schweizerin fest, dass sich zeitweilig tatsächlich zwei identisch aussehende Profil-Seiten von ihr im weltgrößten sozialen Netzwerk fanden - mit gleichem Namen, gleichem Profilbild, gleichem Hintergrundbild, gleichem Arbeitsort.
"Es passte alles - nur stammte die eine Seite nicht von mir", erzählt Landolt im Gespräch mit der WirtschaftsWoche. Den digitalen Doppelgänger hatten bislang unbekannte Betrüger angelegt und sich dabei kurzerhand der Online-Identität der Schweizerin bedient.
Ärgerlicher noch als die bloße Kopie ihres Facebook-Auftritts war, dass die Ersteller der Profilkopie kurzerhand Landolts bestehenden Facebook-Freunden eine weitere Kontaktanfrage vom Fake-Profil schickten - im Wissen, dass vielen die Dopplung nicht auffällt und sie die Anfrage kurzerhand nochmals bestätigen.
Polizei warnt vor vierstelligen Schadenssummen
Der Gedanke dahinter ist ebenso dreist wie lukrativ: Sobald einer von Landolts Kontakten die Anfrage bestätigt hätte, wäre er vom Fake-Profil in einen Chat gelockt worden, in dem der Betrüger die Handynummer abfragt. Auf diese Nummer bucht der Angreifer dann mithilfe von Online-Bezahldiensten wie Paypal oder Boku einen per Handyrechnung zu bezahlenden Einkaufsgutschein. Den daraufhin an das Handy des ahnungslosen Freundes verschickten Freigabe-Code hätte der Betrüger via Chat abgefragt und so die Zahlung autorisiert.
Konkrete Zahlen zu Opfern und wirtschaftlichen Schäden gibt es nicht: Das Betrugsmuster wird in der Kriminalstatistik nicht gesondert ausgewiesen. Laut Warnungen mehrerer Polizeibehörden aus Deutschland, der Schweiz oder Österreich erreichen die Schäden in einzelnen Fällen aber bis zu vierstellige Summen.
Betrüger setzen auf den guten Glauben
Zwar soll der Freischalt-Code eigentlich genau solch einen Missbrauch vermeiden. Doch bei ihrem Tun profitieren die Betrüger von der Wirksamkeit einer Taktik, die sich "Social Engineering" nennt. Sie setzt darauf, dass die angefragten Bekannten dem vermeintlichen Facebook-Freund im Grunde ja vertrauen und nicht davon ausgehen, dass dieser sie hintergeht.
Mal behaupten die Betrüger, ihnen sei das Portemonnaie gestohlen worden und sie müssten dringend ein Taxi bezahlen. Mal geben sie an, sie bräuchten einen Vorschuss und würden das Geld kurzfristig zurückzahlen. Es sind in der Mehrheit Szenarien, die - guten Glauben vorausgesetzt - mindestens leidlich plausibel klingen.
Es ist eine seit Jahren erprobte und erfolgreiche Strategie, die digitale Angreifer nicht nur im Fall von kopierten Facebook-Profilen nutzen.
Aber eben auch dort und zwar schon lange. Seit mindestens fünf Jahren warnt die Polizei regelmäßig vor der Masche, und ebenso lange wenden Betrüger sie - zumeist in zeitlich gestaffelten Angriffswellen - auf Facebook erfolgreich an. Wie viele gefälschte Konten der Dienst im Monat sperrt, publiziert Facebook nicht. Betrugsexperten gehen aber von Tausenden Profildiebstählen jeden Monat aus.
Große Zahl neuer Angriffe bei Facebook
Im Zuge der WirtschaftsWoche-Recherchen meldeten sich alleine in der letzten Januarwoche mehr als zehn Facebook-Nutzer, deren Profil entweder kopiert wurde, oder die von Fake-Profilen aus kontaktiert worden waren. Die Fälle reichen von der E-Commerce-Managerin eines Handelskonzerns über die TV-Redakteurin aus Zürich und den Risikokapital-Investor aus Hamburg bis zum Chefredakteur eines Mobilfunk-Portals im Internet.
„Aktuell erleben wir wieder eine ganze Flut von Anfragen zum Thema“, sagt Andre Wolf, Social-Media-Koordinator bei Mimikama.at, einem Info-Portal, das sich auf die Prüfung von Falschmeldungen und Betrugsmaschen in sozialen Netzwerken spezialisiert hat. Der Begriff Mimikama ist die Übersetzung des Facebook-Kommentars "Gefällt mir" in die arabische Sprache Suaheli.
Auch PayPal bestätigt auf Anfrage, "dass vorsätzlicher Missbrauch von PayPal Buy with Mobile über gefälschte oder gehackte Facebook-Profile in letzter Zeit leider gehäuft auftritt".
Tipps gegen den Profilklau bei Facebook
Suchen Sie in der Facebook-Suche Ihren Namen. Ihre Freunde sollten Sie bei der Suche unterstützten, denn die Betrüger blockieren meist das Original-Profil. Haben Sie oder einer Ihrer Freunde eine Kopie entdeckt, dann melden Sie das Fake-Profil sofort.
Quelle: Mimikama
Sobald ein Konto die Freundesliste auf “Nur ich” gestellt hat, ist es für die Internetbetrüger bereits uninteressant. Klicken Sie dazu in Ihrem Profil auf “Freunde” (unterhalb des Titelbilds). Auf der rechten Seite finden Sie einen “Stift”, der das Bearbeiten ermöglicht.
Es muss nicht immer jeder alles wissen: Es reicht völlig aus, wenn Ihre Freunde Ihre Neuigkeiten erfahren. Die Einstellung dafür können Sie direkt im Statusbeitrag einstellen. Dies betrifft reine Textbeiträge genauso wie Fotos und Videos.
Inhalte, Kontakte und Suchen
Wer kann Ihre zukünftigen Beiträge sehen: “Freunde”
Wer kann Ihnen Freundschaftsanfragen senden: “Alle” oder “Freunde von Freunden”. Unsere Empfehlung: “Freunde von Freunden”
Wessen Nachrichten sollen in Ihrem Postfach gefiltert werden: “Strenges Filtern”
Häkchen entfernen
Möchten Sie, dass andere Suchmaschinen einen Link zu Ihrer Chronik enthalten: Häkchen entfernen
Sichtbarkeit einschränken
Wer kann in Ihrer Chronik posten: “Freunde”
Markierte Beiträge zuerst prüfen: “Aktiviert”
Wer kann markierte Beiträge sehen: Unsere Empfehlung: “Freunde”
Wer kann sehen, was andere in Ihrer Chronik posten: Unsere Empfehlung: “Freunde”
Nutzer-Markierungsvorschläge: “Aktiviert”
Ihre Handlungen mit Werbeanzeigen kombinieren: “Niemand”
Die Experten von Mimikama, die auch die Facebook-Seite Zuerst Denken- dann klicken betreiben, haben daher eine Übersicht mit Tipps zusammengestellt, wie Nutzer des Sozialen Netzwerks die Zugriffsrechte Fremder auf ihr Profil einschränken und welche Sicherheitsvorkehrungen sie aktivieren können, um den Missbrauch der Daten zumindest merklich zu erschweren. Das reicht vom Verbergen privater Fotoalben über die Zugriffssperre auf die Freundesliste bis zum Versand von Warnhinweisen, falls Unbekannte sich beim Konto anmelden wollen.
Wenig Chancen, Geld zurück zu bekommen
Im Fall der Schweizer Kommunikations-Expertin Landolt wurden zwei Freunde stutzig und meldeten das Fake-Profil an Facebook, noch bevor Landolt selbst den digitalen Doppelgänger bemerkt hatte und weiterer Schaden entstand. Oft genug aber fallen Gutgläubige auf den Trick hinein. Wie jener Kölner Geschäftsmann, der nicht mit Namen genannt werden will, weil er den Irrtum zu blamabel findet. Dabei hält sich der Schaden in seinem Fall noch in Grenzen. Knapp 40 Euro buchten ihm die Betrüger auf die Telefonrechnung, bis die Täuschung aufflog.
Große Chancen, das Geld vom Bezahldienst zurück zu bekommen, haben er und die übrigen Geschädigten nicht. "Bei der geschilderten Form des Betrugs besteht leider keine Möglichkeit, das Geld wieder zurückzuerhalten. Mit der Weitergabe der PIN beziehungweise des Bezahlcodes an Dritte haben sich die Betrugsopfer fahrlässig verhalten – sie sind ganz einfach ein Opfer von Betrug geworden", schreibt etwa PayPal auf WirtschaftsWoche-Anfrage.
Von Facebook gibt es - über die Sperrung des Kontos hinaus - ebenfalls keine unmittelbare Hilfe. Anzeigen gegen die Ersteller der gefälschten Seiten erstatte man nicht, heißt es beim Sozialen Netzwerk. Nicht jede Kopie habe schließlich kriminelle Hintergründe. Auch die IP- oder die E-Mail-Adressen, von denen aus die Betrüger die Seitenkopien erstellt haben, gibt Facebook nicht an die Betrugsopfer heraus.
Allerdings würden die Daten und die Fake-Seiten selbst drei Monate gespeichert; für den Fall, dass die Polizei die Informationen benötigt, nachdem Geschädigte Anzeige erstattet haben.
Justizministerium fordert besseren Schutz der Facebook-Nutzer
Zudem reagiere Facebook sehr rasch auf Hinweise und sperre Fake-Profile, erkennt auch Mimikama-Experte Wolf an. „Aber aus unserer Sicht reicht das nicht." Facebook könne viel aktiver gegen die Betrüger vorgehen. "Die haben so viel Intelligenz im System, von der Verhaltensmuster- bis zur Bilderkennung, dass auffallen müsste, wenn etwa Name, Profil- und Hintergrundbilder eines Nutzers nochmals verwendet werden.“
Ulrich Kelber, Parlamentarischer Staatssekretär im Bundesministerium der Justiz und für Verbraucherschutz, sieht das ähnlich. Rechtlich verpflichtet sei das Unternehmen zu einer solchen aktiven Abwehr zwar nicht, sagt der Diplom-Informatiker, „ich halte es aber aus verbraucherpolitischen Gründen für geboten, dass Facebook geeignete technische und organisatorische Maßnahmen ergreift, um die Bildung von Fake-Profilen oder Identitätsdiebstähle zu verhindern“.
Noch allerdings ist das bloß eine Forderung, ein systematischer, technischer Schutz der Nutzer vor den Betrügern nur ein politischer Wunsch. Bis sich das ändert, bleibt Facebook-Fans nur eines: Ein gerüttelt Maß an Misstrauen und - sofern akzeptabel - ein Trick, um die Angreifer auf Umwegen auszubremsen.
Ein Trick der die Täter ausbremst
Wer nämlich grundsätzlich darauf verzichten will, Einkäufe per Handyrechnung zu begleichen, kann bei seinem Mobilfunkanbieter eine sogenannte Drittanbietersperre einrichten lassen. Die unterbindet, dass jegliche Onlineeinkäufe auf die Telefonrechnung gebucht werden.
Dann laufen übrigens nicht nur die Profildiebe bei Facebook ins Leere, sondern auch die Betreiber von Abofallen, die mit ihren ebenso teuren wie unerwünschten Dienste allzu gern und leicht die Handyrechnungen ihrer Opfer belasten.
Die aus den Handynetzen erreichbaren Servicenummern der Netzbetreiber, über die sich Drittanbietersperren einrichten lassen, lauten:
- 2202 (Deutsche Telekom)
- 1212 (Vodafone)
- 1000 (E-Plus/Base)
- 55222 (Telefonica O2)
Weitere Online-Informationen zu den Sperrmöglichkeiten der Mobilfunkanbieter finden Sie hier für die Deutsche Telekom, für Vodafone, für e-plus (Base) und für Telefonica O2.