Sicherheit bei Online-Bezahldiensten

Geschickte Betrüger, überrumpelte Opfer

Von Simone Wroblewski

Prepaid-Online-Zahlungsmittel wie paysafecard oder Ukash werden als alternative Bezahlsysteme im Internet immer beliebter. Der Vorteil: Man kann auch kleine Beträge bei Online-Käufen bequem bezahlen, ohne dabei private Daten wie Name oder Kontoverbindung angeben zu müssen. Aber auch für Betrüger sind die digitalen Zahlungsmittel attraktiv: Kommen sie etwa in Besitz von PINs, die der Kunde für seine Käufe nutzt, können sie selbst damit im Internet auf Shoppingtour gehen. Häufig werden die PINs auch im großen Stil durch Betrügereien und Erpressungen erlangt und am Ende „ausgecasht“, also wieder in Bargeld umgewandelt.

Prepaid-Onlinebezahlsysteme funktionieren ähnlich wie eine Wertkarte für Mobiltelefone. Man kauft zunächst die Wertkarte an einer der Verkaufsstellen – das können etwa Kioske, Tankstellen oder Supermärkte sein. Dort erhält man an der Kasse einen Ausdruck mit einer PIN im Gegenwert des bezahlten Betrages. In autorisierten Online-Shops im Internet kann man nun mit dieser PIN bezahlen – so lange bis das eingezahlte Guthaben aufgebraucht ist. Genutzt werden können diese Bezahlsysteme etwa bei Anbietern aus den Bereichen Games, Social Media & Communities, Musik, Film und Entertainment. „Wichtig ist dabei, dass man seine PIN wie Bargeld behandelt und sie niemals an Dritte weitergibt“, betont Maximilian von Both.

Betrüger sind dreist und einfallsreich

Angriffsszenarien im Bereich Online-Bezahlsysteme gibt es viele. Ziel von Betrügern sind dabei einerseits die Ausgabestellen der PINs, also das Kassenpersonal in Supermärkten oder an Tankstellen, aber auch die Nutzer selbst. Ziel ist es dabei immer, an PINs zu kommen. „Die Betrüger gehen dabei sehr geschickt vor und versuchen entweder, Druck bei den Opfern aufzubauen oder sie mit finanziellen Vorteilen zu locken“, erklärt Bernd Fox aus dem Sachbereich „Organisierte Kriminalität“ der Polizeidirektion Osnabrück.
Häufig seien zum Beispiel Gewinnversprechen, bei denen gezielt ältere Menschen angerufen und zu Geldzahlungen per Online-Bezahlsystem aufgefordert würden. Die Betrüger erklären den Opfern, dass sie erst eine bestimmte Summe zahlen müssten, bevor ein Gewinn ausgeschüttet werden könne.

Da das Geld aus dem Ausland komme und dort Steuern beglichen werden müssten, solle dazu das Online-Bezahlsystem genutzt werden. Die Opfer geben dann die geldwerten PINs an die Betrüger heraus.
Aber auch bei so genannter „Ransomware“, also Software, die von Kriminellen eingesetzt wird, um Computernutzer zu erpressen, wird als Zahlungsmittel unter anderem paysafecard genutzt. Bei einem solchen Angriff erscheint auf dem Rechner zum Beispiel die Meldung, dass man illegale Musikdownloads oder kinderpornografisches Material auf dem Rechner hätte und deshalb Strafe zahlen müsse. Oder die Festplatte wird verschlüsselt und die Angreifer drohen damit, die Daten zu löschen, falls man nicht die geforderte Summe zahlt. „Voraussetzung für solch einen Angriff ist die vorherige Infektion des Rechners mit Schadsoftware – etwa über manipulierte Webseiten oder infizierte E-Mail-Anhänge“, erklärt Bernd Fox. „Die Opfer eines solchen Erpressungsversuchs sind meist völlig überrumpelt und zahlen die geforderte Summe, weil sie Angst um ihre Daten haben. Es gibt Fälle, bei denen Opfer 3.000 Euro in Form von PINs gezahlt haben“, so der Experte. Bei weiteren Betrugsvarianten geht es beispielsweise um den Erlass von Schulden oder aber darum, das Guthaben einer paysafecard vermeintlich zu verdoppeln. „Der Kreativität der Betrüger sind dabei keine Grenzen gesetzt“, so Fox.
Eine beliebte Masche beim Betrug an den Verkaufsstellen: Ein Anrufer täuscht vor, Angestellter des paysafecard-Technikservices zu sein. Er gibt zum Beispiel vor, dass es beim Generieren der PINs ein Problem gibt und fordert den Kassierer auf, testweise Codes zu generieren und diese telefonisch durchzugeben. „Obwohl unsere Distributoren und das Kassenpersonal ausführlich und intensiv geschult werden sowie ausführliche Informationsmaterialien erhalten, kommt es immer wieder dazu, dass PINs am Telefon herausgegeben werden. Die Betrüger haben sich auf diese Anrufe gut vorbereitet und verfügen zum Teil über gut recherchierte Informationen – wie etwa Namen von Vorgesetzten oder interne Abläufe“, weiß Maximilian von Both.