Die letzten Stunden sind mir zwei Betrugsmaschen im Internet untergekommen, die ich kurz erwähnen möchte. Einmal gibt es Betrugsseiten, die ein Deutschland-Ticket anbieten und das über Google-Anzeigen bewerben, um Opfer abzukassieren. Zudem gibt es wohl eine Betrugsmasche mit Google Pay, die Lastschriften über Paypal missbraucht.
Anzeige
Noch sind die Informationen nicht ganz vollständig. Ich stelle aber beide Fälle mal hier im Beitrag als Warnung ein.
Betrug mit Deutschland-Ticket über Google-Anzeigen
Der erste Betrugsfall wird auf X in nachfolgendem Tweet angerissen. Es geht um das Deutschland-Ticket, welches es auf der Internetseite der Deutsche Bahn zu kaufen gibt.
Aber das Ganze lockt natürlich Betrüger an – die Tage habe ich von 1 Millionen Betrugsfälle beim Deutschland-Ticket gelesen (hier gibt es u.a. einen Artikel zum Thema). Gi7w0rm schreibt, dass jemand in seinem Umfeld Opfer eines Betrugs mit (diesen) Tickets geworden sei.
Anzeige
Dem Opfer wurde über Google-Anzeigen eine Betrugsseite angezeigt, über die sich angeblich ein "Deutschlandticket" kaufen lässt.
Diese Betrugsseite (siehe obigen Screenshot) ist wohl über unterschiedlichen URLs wie d-ticket[.]sum, d-ticket[.]com, de-ticket[.]co, de-ticket[.]com erreichbar. Kauft jemand auf diesen Seiten vermeintlich ein Ticket, ist das Geld weg, ohne dass es ein Deutschland-Ticket gibt. Gi7w0rm beklagt sich, dass die Betrugsseiten immer noch in Google-Anzeigen beworben würden, obwohl der Betrug seit zwei Wochen gemeldet wurde.
Gi7w0rm scheint einige Leute in der Bekanntschaft zu haben, die auf so etwas hereinfallen. Ich bin einer seiner Follower, weil er auf X einige Informationen über Sicherheitsvorfälle postet. Als ich obigen Tweet sah, fiel mit sofort der Blog-Beitrag Vorsicht Betrug: Anbieter traum-ferienwohnungen.de gehackt? ein, bei dem ein Familienmitglied Opfer eines Betrugs mit einer Ferienwohnung wurde.
Betrug mit Google Pay Lastschriften über PayPal
Mit dem Zahlungsdienstleister PayPal wird sehr viel Schindluder betrieben. Ich hatte kürzlich im Blog-Beitrag PayPal-Betrug per "Gastkonto"; Verbraucherzentrale warnt vor unberechtigten Lastschriften mittels PayPal gewarnt. Nun bin ich in einer Facebook-Gruppe auf den Post eines IT-Dienstleisters gestoßen, dessen Kunde ein Opfer einer "Lastschrift von PayPal" wurde. Der Fall könnte leicht anders gelagert sein.
Es ist hier nicht ganz klar, was genau abgelaufen ist. Dem Opfer wurden 16 Lastschriften über Paypal belastet. Vermutet wird, dass das Opfer auf einen Lidl-Werbeanzeige zu einem Parkside-Produkt geklickt habe.
Ich hatte nachgefragt und der IT-Dienstleister hat dann aus seiner Erinnerung noch einige Informationen geliefert. Das Opfer ist Kunde von ihm und ca. 70 Jahre alt. Es betreibt mit seiner Frau zusammen eine Hundezucht.
Laut Aussage wurde dem Opfer auf einem neuen Windows 11-System im Edge-Browser Werbung, vermeintlich von Lidl, zu einem Parkside-Gerät angezeigt. Das Opfer klickte auf diese Werbung, um das Gerät zu kaufen.
Der IT-Dienstleister merkt an, dass dies der erste Fehler gewesen sei und dort vermutlich bereits Daten "abgeflossen seien". Ein Stornieren des Kaufs durch den Benutzer haben dann schon nicht mehr funktioniert.
Ergänzend schrieb der IT-Dienstleister, dass beim Opfer zwei Android Mobiltelefone mit einem Google Konto und der GMail-Adresse Mann+Frau@googlemail.com verwendet werden. Das sei die einzige Verbindung, die es da noch geben könnte. Auf dem Handy der Ehefrau befände sich eine veraltete Android Pay-App (Vorgänger von Google Pay). Aber auch diese App sei nie genutzt worden. Auch habe es keine Nutzung von Google Pay gegeben.
Der IT-Dienstleister schreibt, dass die Zweifaktor-Authentifizierung von PayPal ausgehebelt worden sei, es habe keine Code-SMS zur Freigabe gegeben. PayPal lehnt die Einsprüche des Opfers ab – normalerweise könnte er unberechtigte Lastschriften zurückgehen lassen. Offenbar ist er aber darauf angewiesen, mit PayPal zu arbeiten.
Ähnliche Artikel:
Betrug: Unberechtigte Google Pay Abbuchungen bei Paypal
Vorsicht Betrug: Anbieter traum-ferienwohnungen.de gehackt?
PayPal-Betrug per "Gastkonto"; Verbraucherzentrale warnt
Anzeige
Android Handy mit uralt App… ich würde mal da ansetzen ist das Handy gekapert ist es ein leichtes die Code SMS abzufangen und die Anzeige zu unterdrücken.
Sehe da auch kein direktes Paypal Problem, wenn Paypal eine korrekten/bestätigten Zahlungsauftrag bekommen ist das deren Aufgabe den auszuführen.
Ist ja bei einer Kreditkarte auch nicht anders, hast du die Kreditkartennummer und den PIN wird der Auftrag ausgeführt.
Wird nicht immer als Argument für Paypal angeführt, dass man hier einen Käuferschutz hat und Zahlungen zurückziehen kann. Zumindest wurde das in Foren immer gegenüber giropay u.ä. Services so argumentiert – wie vorteilhaft die US Services sind gegenüber der Europäischen.
Da sieht man mal wieder, welchen wichtigen Teil Werbeblocker ala uBlock oder pihole zum heutigen Leben beitragen.
Da sieht man eher, welch schlimmes Außmaß das angenommen hat, dass es all solcherlei – vorrangig technische – Hilfsmittel benötigt, weil eben einfach ALLES unter dem Narrativ "zum Wohl der Wirtschaft" ermöglicht wird! 🤨
Das ist's also, was WIR (alle) wollen – in unserem Leben grundsätzlich allem bis auf's Äußerste mißtrauisch begegnen?
Wer soll das als Otto-Normal-Mensch noch über- bzw. durchblicken können? 🙄
Sehe ich auch so. Aber was machste, wenn man nur und ausschließlich ein Smartfone nutzt. Da hilft eben auch nur genau zu gucken und recherchieren, ob das alles echt ist. Zumal auch ein großer Teil der Leute null Plan von dem Ganzen hat und eben solchen Fake nicht erkennen. Das soll da auch kein Vorwurf sein, das solche Fallen gezielt aufgestellt werden, damit man rein tappt.
Bei mir läuft uBlock im Smartphone in Firefox.
In unsere Generation hies es noch mach dich schlau über das was du nutzt oder lass es bleiben und lass es von nem Fachmann machen… ist auch die Generation die auf sowas im Durchschnitt nicht reinfällt.
Zitat: "Der IT-Dienstleister schreibt, dass die Zweifaktor-Authentifizierung von PayPal ausgehebelt worden sei, es habe keine Code-SMS zur Freigabe gegeben."
Nutzende App und zweiter Faktor auf einem Gerät ist halt auch sinnfrei. Aber das verstehen ja selbst Banken und Sparkassen nicht, wenn diese einem ihre Push-Tan-Apps aufdrängen wollen. Entweder man trennt das physisch (externer TAN-Generator z.B. Rainer SCT) oder lässt es bleiben. Alles andere ist Bullshit und hat nichts mit höheren Sicherheitsmaßnahmen zu tun.
Zitat: "Aber das verstehen ja selbst Banken und Sparkassen nicht, wenn diese einem ihre Push-Tan-Apps aufdrängen wollen.."
Manche bei den Banken verstehen das schon. Aber die Banken nehmen das Risiko in Kauf und bezahlen dann halt.
Deshalb nutzt mancher IT-ler in der Bank halt keine App.
Lernen durch Schmerzen. Aber die Schmerzen sind noch nicht hoch genug.
Danke für die weitere Bestätigung, dass mein kompletter Paypal-Verzicht weiterhin überaus angemessen ist. :)
Komisch…ich nutze das seit über 10 Jahren und hatte da (bis dato) niemals i-welche Probleme. 😇
Außerdem glaube ich auch nicht, dass in hier vorliegender Fallkonstellation die Ursache bei PayPal zu suchen sein sollte. 🤷♂️
mmh ich nutze Papayl seit es den Dienst hier gibt… noch nie ein Problem damit gehabt. Ich nutze den Dienst allerdings auch nicht blindlinks!
Man weis schon wo das tatsächliche Problem liegt, darf man den Leuten aber heute ja nicht mehr so direkt sagen.
Also wenn die Ursache Schmerzen bereiten würde, könnte man die Welt vor lauter Geschrei nicht mehr aushalten.
Und das ist auch kein direktes Paypal Problem… wenn Paypal ein korrekt authorizierten Auftrag kriegt führt der den aus wie jede Bank die einen Lastschriftautrag bekommt der korrekt authoriziert ist… das ist deren Aufgabe! Wenn man sich halt die PIN klauen lässt…
Versuch mal bei der Bank ein Kreditkartenkauf zu stornieren der korrekt mit PIN authoriziert worden ist… da bist du auch in der Beweispflicht.
Zitat :" Der IT-Dienstleister merkt an, dass dies der erste Fehler gewesen sei und dort vermutlich bereits Daten "abgeflossen seien". Ein Stornieren des Kaufs durch den Benutzer haben dann schon nicht mehr funktioniert."
Meiner Meinung nach fehlen hier die wichtigen Details.
Man kann nur etwas stornieren, wenn man schon im Bestellprozess ist.
Wenn man nur auf die Werbung klickt, würde man das Fenster einfach schließen.
Zudem gäbe es nichts zu stornieren.
Die Daten wurden daher scheinbar schon eingegeben.
Für mich liest sich das so, als wenn der Kunde über die vermeintliche Lidl Werbung alle Daten frei Haus geliefert hat.
Ich hoffe, dass die Bankenaufsicht PayPal mal auf die Finger haut, aber ich habe da so meine Zweifel.
Warum?
Deutschlandticket gibt es nicht nur bei der DB sondern auch bei jedem anderen Verkehrsunternehmen. Mit der DB haben auch viele Leute Probleme, die scheint die Technik nicht im Griff zu haben. Der Kauf anderswo ist also durchaus empfehlenswert. Besonders wenn man eine Chipkarte und keine App möchte.
Wie man erkennt ob es eine echte D-Ticket Webseite ist? Keine Anhnung, am Besten von den (echten) Webseiten der Verkehrsunternehmen ausgehen. Oder mal persönlich im Kundencenter vorbei schauen. Ansonsten sollte sich die Buchung in Fakeshops bei der Bank oder bei der Kreditkartengesellschaft stornieren lassen.
Also, Leute bitte Ruhe bewahren und Lösungen umsetzen. Die Digitalwelt ist heute so komplex geworden, dass fast überall Gefahren lauern. Es gibt aber Mechanismen, die diese Gefahren minimieren können. Leider ist es sehr schwer für die Mehrheit geworden, die vor zwanzig Jahren jetzt etablierten Komfortzonen zu verlassen. Wer schon ohne Wenn und Aber über Links von Google usw. einkauft, erzählt mir schon vieles über sein Nutzerprofil.