Es beginnt mit einer harmlosen Frage via Whatsapp: «Guten Abend! Wird dieser Artikel noch verkauft?» Eine unverdächtige Frage, wie man sie als Verkäufer auf Tutti.ch halt zu hören bekommt. Und so schöpfte Franz J. nicht sofort Verdacht, als sich jemand für die Stereoanlage zu interessieren schien, die er über Tutti.ch verkaufen wollte.
Der Pseudo-Interessent machte dann im weiteren Chatverlauf klar, dass er die Anlage leider nicht abholen könne, da ihm der Weg zu weit sei – aber man könne die «Kurierzustellung» der Post nutzen: Er (der Käufer) bezahle den geschuldeten Betrag, Franz J. könne diesen dann über die Webseite der Post zu sich transferieren lassen, danach werde die Stereoanlage per Kurier abgeholt.
Franz J. hatte zwar noch nie von einem solchen Dienst gehört. Aber der Link, den der kriminelle Absender per Whatsapp mitschickte, überzeugte ihn: Dort war im gewohnten Erscheinungsbild der Post detailliert beschrieben, wie dieses wohlverstanden frei erfundene Angebot funktionieren soll.
Dreist: Betrüger warnen vor Betrügern
Hätte Franz J. irgendwann nicht doch noch gemerkt, dass er da mit einem Betrüger chattet, wäre er jetzt möglicherweise ein paar Tausend Franken ärmer: Denn wer sich auf den Deal einlässt, wird wiederum über die gefälschte Post-Seite zu einem Formular geleitet, auf welchem dann die Kreditkarten-Daten eingegeben werden müssen. «Besonders dreist ist in diesem Fall», sagt Alexander Renner von der auf Cyber-Verbrechen spezialisierten Kantonspolizei Zürich, «dass die Betrüger im Verlauf des Prozesses vor Internetkriminalität warnen».
«Tokenized Fraud» heisst die Masche: Sobald das Opfer seine Kreditkarten-Daten angegeben hat, virtualisieren die Betrüger diese Karte – sie hinterlegen sie also auf einem Smartphone zur Bezahlung etwa bei Apple Pay, Google Pay oder Samsung Pay. Um die Karte dann tatsächlich nutzen zu können, muss das Opfer einmalig auf seinem eigenen Smartphone die Genehmigung erteilen. Das machen die Betrüger in diesem Fall so, dass sie ihr Opfer via Whatsapp auffordern, die Push-Nachricht der Bank zu bestätigen.
«Jetzt habe ich Schwein gehabt!»
Bei Franz J. ist es nicht so weit gekommen. Dennoch beschäftigt ihn, dass er erst spät gemerkt hat, dass es sich um einen Betrugsversuch handelt. «Ich bin normalerweise wirklich vorsichtig. Aber das ist alles richtig gut gemacht.» Zu seiner Frau habe er danach gesagt: «Schatz, jetzt habe ich echt Schwein gehabt!»
Tutti.ch gibt auf Anfrage an, diese Art von Betrug trete seit einigen Monaten «mit unterschiedlicher Intensität» auf. Man habe auch schon entsprechende Warnhinweise veröffentlicht, die alle angemeldeten Nutzerinnen und Nutzer sehen würden. Verkäufer aktiv zu schützen, sei schwierig: «Da die Verkäuferinnen und Verkäufer in diesem spezifischen Fall fast immer über Whatsapp und damit ausserhalb unserer Plattform kontaktiert werden, können wir leider nicht viel tun, um diese Betrugsversuche zu verhindern.»
