Dass sie online gleich zwei digitale Alter-Egos bei Facebook hatte, bemerkte Karin Landolt erst, als sich Freunde telefonisch und per E-Mail bei ihr meldeten. "Es gibt dich bei Facebook zwei Mal, warnten die", erzählt die Kommunikationschefin bei der Standortförderung der Stadt Winterthur. Erstaunt stellte die Schweizerin fest, dass sich zeitweilig tatsächlich zwei identisch aussehende Profil-Seiten von ihr im weltgrößten sozialen Netzwerk fanden - mit gleichem Namen, gleichem Profilbild, gleichem Hintergrundbild, gleichem Arbeitsort.
"Es passte alles - nur stammte die eine Seite nicht von mir", erzählt Landolt im Gespräch mit der WirtschaftsWoche. Den digitalen Doppelgänger hatten bislang unbekannte Betrüger angelegt und sich dabei kurzerhand der Online-Identität der Schweizerin bedient.
Ärgerlicher noch als die bloße Kopie ihres Facebook-Auftritts war, dass die Ersteller der Profilkopie kurzerhand Landolts bestehenden Facebook-Freunden eine weitere Kontaktanfrage vom Fake-Profil schickten - im Wissen, dass vielen die Dopplung nicht auffällt und sie die Anfrage kurzerhand nochmals bestätigen.
Polizei warnt vor vierstelligen Schadenssummen
Der Gedanke dahinter ist ebenso dreist wie lukrativ: Sobald einer von Landolts Kontakten die Anfrage bestätigt hätte, wäre er vom Fake-Profil in einen Chat gelockt worden, in dem der Betrüger die Handynummer abfragt. Auf diese Nummer bucht der Angreifer dann mithilfe von Online-Bezahldiensten wie Paypal oder Boku einen per Handyrechnung zu bezahlenden Einkaufsgutschein. Den daraufhin an das Handy des ahnungslosen Freundes verschickten Freigabe-Code hätte der Betrüger via Chat abgefragt und so die Zahlung autorisiert.
Konkrete Zahlen zu Opfern und wirtschaftlichen Schäden gibt es nicht: Das Betrugsmuster wird in der Kriminalstatistik nicht gesondert ausgewiesen. Laut Warnungen mehrerer Polizeibehörden aus Deutschland, der Schweiz oder Österreich erreichen die Schäden in einzelnen Fällen aber bis zu vierstellige Summen.
Betrüger setzen auf den guten Glauben
Zwar soll der Freischalt-Code eigentlich genau solch einen Missbrauch vermeiden. Doch bei ihrem Tun profitieren die Betrüger von der Wirksamkeit einer Taktik, die sich "Social Engineering" nennt. Sie setzt darauf, dass die angefragten Bekannten dem vermeintlichen Facebook-Freund im Grunde ja vertrauen und nicht davon ausgehen, dass dieser sie hintergeht.
Mal behaupten die Betrüger, ihnen sei das Portemonnaie gestohlen worden und sie müssten dringend ein Taxi bezahlen. Mal geben sie an, sie bräuchten einen Vorschuss und würden das Geld kurzfristig zurückzahlen. Es sind in der Mehrheit Szenarien, die - guten Glauben vorausgesetzt - mindestens leidlich plausibel klingen.
Es ist eine seit Jahren erprobte und erfolgreiche Strategie, die digitale Angreifer nicht nur im Fall von kopierten Facebook-Profilen nutzen.
Aber eben auch dort und zwar schon lange. Seit mindestens fünf Jahren warnt die Polizei regelmäßig vor der Masche, und ebenso lange wenden Betrüger sie - zumeist in zeitlich gestaffelten Angriffswellen - auf Facebook erfolgreich an. Wie viele gefälschte Konten der Dienst im Monat sperrt, publiziert Facebook nicht. Betrugsexperten gehen aber von Tausenden Profildiebstählen jeden Monat aus.
