Diesen Tag vergisst E.F. nicht so bald. Die 36-Jährige will nur kurz eine Zahlung in der Postfinance-App erledigen. Doch sie kann sich nicht einloggen. «Falsches Passwort» meldet die App.
Über 80'000 Franken waren weg. Mein ganzes Erspartes!
Böses ahnend eilt sie zum nächsten Postomaten und stellt fest: Ihr Konto ist leer. «Über 80'000 Franken waren weg. Mein ganzes Erspartes!»
Kriminelle geben sich als Käufer aus
Angefangen hat alles mit einem Inserat auf Anibis und Facebook Marketplace. Dort bietet E. F. Möbel an. Kurz darauf meldet sich eine Frau per Whatsapp und zeigt Interesse am inserierten Bett.
Sie fragt, ob sie das Bett abholen lassen könne, die Post biete einen solchen Transport-Service an.
Sie schickt ein Foto der angeblichen Post-Website mit dem Angebot. Die URL und das Logo scheinen der Verkäuferin in Ordnung. Nur: Es gibt gar keinen solchen Post-Service. Nichts ahnend, steigt die 36-Jährige auf den Vorschlag ein.
Geschickt manipulierte Fake-Website
Danach schickt ihr die Käuferin einen Link zu einer (angeblichen) Post-Website, um Transport und Bezahlung zu regeln. «Ich habe ein Postfinance-Konto und dachte: Eine Zahlung von Post zu Post ist normal. Mir kam das nicht verdächtig vor.»
Sie gibt auf der Site Name, Adresse und IBAN an. Kurz darauf erhält sie per SMS einen Verifizierungscode, der – tatsächlich – von Postfinance stammt. Den Code tippt sie auf der Fake-Website ein – im Glauben, es sei die offizielle Post-Website.
Jetzt passiert es: Die Hacker übernehmen das Konto und bestellen für über 80'000 Franken Elektronik bei grossen Onlineshops. Wie die Täter es geschafft haben, ihr Konto zu kapern, ist für E. F. ein Rätsel.
Sie sieht ein, dass sie auf einen Phishing-Trick hereingefallen ist. Doch: «Ich habe nie mein Login-Passwort angegeben. Das ist auf meinem Handy gespeichert und so komplex, dass ich es gar nicht auswendig weiss.»
Wie gelangten die Kriminellen an das Login-Passwort? Ein Rätsel
«Kassensturz» fragt bei Postfinance nach: Wie konnten sich die Täter ohne Passwort in das E-Finance der Kundin hacken? Die Bank widerspricht: «Ohne die E-Finance-Nummer, Passwort und ein drittes Sicherheitselement ist es nicht möglich, sich im E-Finance anzumelden. Im vorliegenden Fall haben sich die Betrüger Zugang zu diesen streng vertraulichen Daten verschafft, indem sie das Vertrauen der Kundin missbrauchten.»
Mit der Weitergabe des Sicherheits-Codes hätte die Kundin Ihre Sorgfaltspflicht verletzt und trage somit die Verantwortung für den Schaden. Einen Beleg, dass die Täter das Passwort erhalten haben, legt Postfinance nicht vor.
Sicherheits-System von Postfinance schlägt an – und dann wieder nicht
E. F. kritisiert ausserdem das Sicherheits-System von Postfinance. Denn: Die ersten vier Zahlungsversuche der Kriminellen über 34'000 Franken hatte dieses gestoppt. Doch die weiteren nicht. «Wie kann es sein, dass das System die ersten Überweisungen als missbräuchlich erkennt, die restlichen aber nicht?» Postfinance will diese Frage nicht beantworten. «Aus sicherheitstechnischen Gründen können wir dazu keine Antwort geben.»
Wie auch immer die Täter vorgegangen sind: Der Fall zeigt einmal mehr, dass man bei Online-Geschäften auf keinen Fall auf ungewöhnliche Vorschläge und Zahlungsmodalitäten eingehen sollte. Hätte E. F. auf Barzahlung oder eine Twint-Überweisung beharrt, wären die Täter chancenlos geblieben.
