Identitätsdiebstahl auf Facebook

Ihr Doppelgänger braucht dringend Geld

Von Dr. rer. nat. Jürgen Kaack, STZ-Consulting Group

Soziale Netzwerke erleichtern die Kommunikation, helfen dabei, Kontakte zu pflegen und Kontaktdaten aktuell zu halten. Es gibt kaum eine andere Möglichkeit, eigene Informationen so schnell zu verbreiten. Das Risiko sehen viele eher darin, das die Betreiber Informationen sammeln, aufbereiten und weiterverkaufen. Weniger häufig und daher auch weniger präsent ist das Problem des Identitätsmissbrauchs, also der Übernahme von Accounts und Inhalten durch Betrüger. Ein persönlicher Bericht aus leidvoller Erfahrung

Passwort geknackt, Account gehackt

Seit 2004 nutze ich mit unterschiedlicher Intensität verschiedene Social-Network-Dienste, u.a. als eine Plattform für PR-Zwecke und zur Verbreitung eigener Artikel. Dabei verhalte ich mich vermutlich mehr oder weniger so wie die Mehrzahl aller Nutzer, allerdings ohne zu viel an privaten Informationen preiszugeben oder auch nur weitergeben zu wollen. Dabei selber Opfer eines verbrecherischen Angriffs zu werden, war mir eigentlich nie als übermäßig wahrscheinlich erschienen. Trotzdem ist genau dies am letzten Novemberwochenende 2014 mit meinem Facebook-Account geschehen.

Als ich an einem Sonntagabend noch einmal die E-Mails las, überraschten mich einige Nachrichten von Freunden und Bekannten, die anscheinend merkwürdige Post von mir erhalten hatten und nicht wussten, was sie bedeuten sollte. Anhand von Screenshots ergab sich später ein klares Bild der Betrugsattacke: Jemand hatte meinen Account gehackt, persönliche Bilder meiner Seite gestohlen und mit diesen eine neue Seite erstellt, die der meinen auf den ersten Blick täuschend ähnlich sah.

Durch eine Änderung des Passworts konnte ich weitere Zugriffe zumindest kurzfristig unterbinden. Aber natürlich kann jederzeit wieder ein Angriff auf die Seite erfolgen – jedes Passwort kann durch Software-Programme und unbegrenzte Versuche geknackt werden.

Das Geld bitte an die neue Adresse

Der Betrüger entwendete aber nicht nur persönliche Fotos, sondern kopierte auch die Kontaktdaten von Freunden, Bekannten und Geschäftspartnern. Mithilfe dieser Daten schrieb er von der Fake-Seite aus die Kontakte an und teilte ihnen mit, dass ich sie aus Versehen aus der Freundesliste gelöscht habe und um eine erneute Kontaktbestätigung bitte, natürlich auf der neuen, der gefälschten Seite. Bis auf die etwas merkwürdige Formulierung der Nachricht erschien der Vorgang nicht so ungewöhnlich, wenn man davon absieht, dass ich bislang keine Kontakte unabsichtlich gelöscht habe.

Die eigentlichen kriminellen Absichten zeigten sich dann in weiteren Nachrichten an die Kontakte. Darin bat der Dieb unter Angabe einer gefälschten E-Mail-Adresse, die der von mir genutzten nicht mal zu ähnlich ist, um Kontaktaufnahme per Mail, weil Nachrichten über das soziale Netzwerk zu „unsicher“ sind. Da sicher kaum jemand unter meinen Kontakten meine E-Mail-Adresse auswendig weiß, kann ein solcher Vorgang gelingen, wenn die E-Mail-Adresse nicht im Client gespeichert ist. Hier hätte eigentlich jeder Empfänger stutzig werden können. Eine „unbeabsichtigte“ Löschung von Kontakten und dann eine unbekannte E-Mail-Adresse, ohne dass der Absender auf diesen Umstand hinweist, ist zumindest merkwürdig.

An Geld wollten die Betrüger dann auf diese Weise kommen: Mit der bei näherer Betrachtung ziemlich dubiosen Begründung, dass ich wegen leerem Akku gerade nicht telefonieren könne, für einen Einkauf aber dringend 500 oder 750 Euro benötige, bat der Dieb unter meinem Namen um Geld in Form von Gutscheinen oder Geldkarten. Man solle die entsprechenden Codes zur Einlösung z.B. an einer Tankstelle bitte auch gleich vorab an die neu angegebene E-Mail-Adresse schicken. Die Rückerstattung sollte gleich am nächsten Morgen bis spätestens 11 Uhr erfolgen (unter einer Erhöhung auf 110 % der geliehenen Summe).

Das sollte stutzig machen
Merkwürdig an diesem Szenario ist, dass zwar der Akku leer sein sollte und ich mich unterwegs befinde, sodass kein Geld beschafft werden kann, dass aber die Nutzung des sozialen Netzwerks offenbar möglich ist und dass auch E-Mails verschickt und empfangen werden können. Das passt nicht zusammen. Bei genauerem Hinsehen sind auch die Nachrichten selber ungewöhnlich. Zunächst einmal enthalten sie keine Anrede. Eine Bitte um Geld und dann nur ein „Hallo“ – das erscheint mir nicht passend. Auch der Sprachstil passt nicht zu mir. Eine Nachfrage nach einem Gespräch über Skype wurde übrigens abgebogen, weil ich angeblich keinen Skype-Account habe. Das stimmt nun definitiv nicht – dumm, wenn dies dem Kontakt bekannt ist.

Missbrauch melden – und warten

Nachdem mir der Zugriff auf meinen Account bekannt war, habe ich ihn zunächst deaktiviert, was aber im Nachhinein nicht viel helfen konnte, da der Zugriff ja bereits erfolgt war. Es war also nur noch ein Account sichtbar, und zwar der gefälschte. Selber konnte ich den falschen Account nur sehen, wenn ich mich abgemeldet hatte. Bei der Suche nach meinem Namen tauchten beide Accounts nebeneinander auf. Damit dies möglich war, hatte der Betrüger einen anderen Nutzernamen eingetragen, der nicht mit meinem identisch war, wohl aber in umgestellter Reihenfolge einem anderen Facebook-Nutzer zugeordnet ist.

Da mir der Zugang auf die gefälschte Seite verwehrt war – aus Sicht des Betrügers eine sinnvolle Aktion –, konnte ich die Seite nicht direkt als betrügerisch kennzeichnen. Als Sofortreaktion blieb mir nur eine Mitteilung auf meiner eigenen Seite, um weiteren Schaden zu verhindern. Mithilfe der mir zugesandten Screenshots meldete ich bei Facebook dann einen „Missbräuchlichen Inhalt“ und nach anderthalb Tagen war die gefälschte Seite verschwunden. Es ist ein ungutes Gefühl, wenn die eigene Identität missbraucht wird und die eigenen Möglichkeiten zur Reaktion recht beschränkt sind.

Betrugsversuche erkennen

Als Eigentümer seiner Seite hat man selber kaum Möglichkeiten, eine derartige Attacke zu verhindern. Zwar kann man den Zugriff einschränken, aber bei geschäftlichen Seiten besteht der Sinn ja darin, eher eine breitere Zielgruppe zu erreichen und nicht eine eingeschränkte. Die Privatsphäreneinstellungen für private Seiten lassen sich natürlich schon restriktiver handhaben, sodass Postings und Nachrichten nur für Freunde sichtbar sind. Ob man dabei nur direkte Kontakte oder auch „Bekannte“ zulässt, muss jeder für sich entscheiden, ich habe „Bekannte“, also Freunde von Freunden mittlerweile ausgeschlossen. Auch die „Freundesliste“ sollte nur beschränkt sichtbar sein. Gegen ein Ausspähen der Seite schützt dies allerdings im Zweifelsfall nicht. Hier sind also am ehesten die Betreiber der Netzwerkportale gefordert; sie hätten die Mittel und Möglichkeiten, „doppelte“ Identitäten zu finden und zu prüfen. Insbesondere sollte ein Ausspähen von Passwörtern durch unbegrenzte Versuche ausgeschlossen werden, selbst wenn vergessliche Nutzer dadurch gezwungen werden, häufiger ihr Passwort zurückzusetzen. Aber was können die Empfänger dubioser Nachrichten tun, wenn sie nicht alle Anfragen von „Freunden“ von vorneherein ignorieren wollen?

Die entscheidende Tücke bei allen Social-Media-Netzwerken ist die Überprüfung der Identität. Insbesondere bei Anfragen mit wirtschaftlichem Gegenwert muss sich durch unabhängige Medien überprüfen lassen, ob es sich tatsächlich um denjenigen handelt, für den der Anfragende sich ausgibt. Am einfachsten kann dies über Sprachidentifikation geschehen. Ist ein Mobiltelefon nicht verfügbar, steht oft zumindest ein Festnetztelefon zur Verfügung. Falls ein Computer mit Internet in Reichweite ist, kann z.B. über Skype ohne größeren Aufwand eine Verifikation erfolgen. Keinesfalls kann hierfür eine neue E-Mail-Adresse dienen, die der Anfragende wünscht! Der Angefragte sollte wenigstens eine Mail- oder Sprachkommunikation über die bekannten Telefon- und Mail-Daten verlangen. Einen einfachen Betrugsversuch kann man auf diese Weise schnell erkennen.

Fazit: Nicht unter Druck setzen lassen

Hinweise zur Seriosität der Anfrage liefert möglicherweise auch der Kontext. Geld für einen Online-Kauf mithilfe von Wertkarten zu verlangen, die von Freunden beschafft werden sollen, ist auf jeden Fall dubios. Warum kann der Einkauf nicht bis zum nächsten Tag warten? Warum kann der Bittsteller keine Online-Bezahlsysteme nutzen? Auch Form und Inhalt einer Nachricht können stutzig machen, wenn der Sprachstil deutlich von dem sonst üblichen abweicht. Ebenso sollte der Verzicht auf eine persönliche Anrede nachdenklich stimmen.

Generell heben derartige Betrugsversuche darauf ab, einen zeitlichen Handlungsdruck zu schaffen, den es in Wirklichkeit nur sehr selten gibt. Daher ist eine der besten Faustregeln: sich nicht unter Druck setzen lassen, sondern mitdenken und kritisch prüfen. Es ist hier wie bei den klassischen fünf W-Fragen jeder Notfallmeldung: „Der Alarmierende hat langsam, laut und deutlich zu sprechen und klare Angaben zu machen.“

Dr Juergen Kaack.JPG

Die STZ-Consulting Group ist eine Unternehmens­beratung, die Unternehmen und Kommunen bei der Bewältigung von Veränderungs­prozessen unterstützt, von der Entwicklung trag­fähiger Konzepte bis zur Um­setzung. Die Partner der STZ-Consulting Group haben lang­jährige Erfah­rungen aus eigener operativer Führungs­tätigkeit in Unter­nehmen, aus der Gründung und dem Aufbau von Unter­nehmen sowie in der Beratung. Ein Branchen­schwerpunkt liegt in der Tele­kommunikation.


Dr. Jürgen Kaack – STZ-Consulting Group, Kolibristr. 37, 50374 Erftstadt, Tel. 02235-988776, info@stz-consulting.de, www.stz-consulting.de.

Nützliche Links