Es ist passiert, ich bin auf eine Phishing-SMS reingefallen. Mir unerklärlich wie ich so dumm sein kann aber es ist geschehen.
Seitdem ist so einiges passiert und ich dachte ich teile meine monatelangen Erfahrungen mal hier, damit andere davon etwas lernen können.
Der böse Klick
Alles fing an mit einer vermeintlichen SMS von meinem Mobilfunkanbieter SIMon Mobile:
SIMon: Hoppla! Die aktuelle Abbuchung für deinen Vertrag ist leider fehlgeschlagen. Bitte kontrollieren unter https://simonmobile.de-kunden.sbs/
Der Ton ist tatsächlich das authentischste an der SMS, weil SIMon genau diesen pseudo-hippen Duktus pflegt. Die URL ist natürlich offensichtlich fake, der Trick ist allerdings, dass die Zeile am Minus umbricht, wenn die Zeilenlänge stimmt und damit auf dem ersten Blick mit der echten Adresse übereinstimmt.
Ich war tatsächlich nicht so sensibilisiert für Phishing per SMS, weil ich angenommen habe, dass man an eine Telefonnummer nicht so leicht und anonym rankommt, wie an eine Emailadresse. Bei einer E-Mail wäre ich sicher misstrauischer gewesen.
Also raufgeklickt, dahinter die perfekt nachgebaute SIMon-Mobile-Anmeldeseite. Meine Anmeldedaten eingegeben. Klappt nicht. Nochmal probiert: nicht endender Ladeindikator. Kriegt mal eure Technik in den Griff denk ich mir und mach es wieder zu.
Die Falle schnappt zu
Am nächsten Morgen stelle ich verblüfft fest, dass mein Email-Postfach überflutet ist. Über 100 Mails: Anmeldungen bei irgendwelche obskuren Newslettern, 2FA-Anfragen von allerlei Diensten. Ich frage mich ob mein Email-Postfach übernommen wurde aber warum sollten die Angreifer mich dann in Newslettern eintragen und warum löschen sie vor allem nicht die ganzen verdächtigen Emails? Ohne wirklich anzunehmen, dass mein Postfach kompromittiert ist, ändere ich sicherheitshalber mein Passwort.
Am selben Morgen stelle ich fest, dass mein Handy keinen Empfang hat. Ich vermute, dass ein Funkmast in der Nähe meines Zuhauses vll gerade ein Problem hat. Als ich auch an anderen Orten in der Stadt keinen Empfang habe, beginne ich mich zu wundern. Neustart, SIM-Karte raus und rein, nichts hilft. Irgendwann merke ich, dass ich offenbar gar nicht im Netz angemeldet bin.
Also wende ich mich am Abend nochmal meinen Postfach zu und da entdecke ich sie, die einzige relevante Mail unter all dem Spam: Mein Mobilfunkanbieter teilt mir mit, dass meine beantragte eSIM in 1-2 Stunden einsatzbereit ist. Das war vor 20 Stunden. Jetzt fällt der Groschen. Ich checke die SMS nochmal und bemerke meinen Fehler. Die Email-Flut in meinem Postfach sollte die entlarvende Info-Mail meines Providers verschütten. Die Betrüger hatten jetzt knapp 24 Stunden Zugriff auf meine Telefonnummer.
Ich habe die eSIM natürlich sofort sperren lassen, der Zugang zu meinem SIMon-Konto war glücklicherweise unverändert zugänglich. Ich dachte, damit hat es sich und ich müsste jetzt nur 2 Tage auf meine neue SIM-Karte warten.
Der Schufa-Schock
In den folgenden Tagen habe ich sicherheitshalber eine Anzeige bei der Polizei gestellt und dabei in gerechter Empörung die Telefonnummer angegeben, von der ich die SMS erhalten hatte. Dafür werde ich mir bald etwas dumm vorkommen.
Bei der Gelegenheit habe ich nochmal ChatGPT gefragt, was man in solchen Fällen noch tun sollte und das hatte einen entscheidenden Tipp, den ich jeder*m Betroffene*n ans Herz legen kann: Eine Datenauskunft bei der Schufa einholen, wer so alles Bonitätsauskünfte über mich eingeholt hat. Das habe ich gemacht (kann man einmal im Jahr über die DSGVO-Auskunft kostenlos tun) und ein paar Tage später der Schock: 3 Dutzend Bonitätsauskünfte innerhalb kürzester Zeit.
(Interessanterweise allerdings einige schon bevor ich auf den Phishing-Link geklickt hatte. Das erhärtet meinen Verdacht, dass die Angreifer bereits etwas über mich wussten als sie mir die gezielte SMS mit dem korrekten Mobilfunkanbieter zugeschickt haben.)
Auf der Liste kann ich auch sehen, wie mit jeder Auskunft mein Schufa-Score weiter in den Keller wandert, bis er bei “Hohes Ausfallrisiko” landet. Die Schufa begründet ihr halbkriminelles Treiben ja damit, dass sie vor Identitätsdiebstahl schützt und da haben sie durchaus einen Punkt.
Also all die Firmen angeschrieben, die meine Bonität erfragt haben, weil offenbar jemand in meinem Namen versucht hat Verträge mit ihnen abzuschließen. Alle die antworten melden mir jedoch schnell, dass ein Vertragsabschluss nicht zustande gekommen war. Also war ich erleichtert.
“Sind sie Congstar”?
In den Wochen darauf erhalte ich ein Dutzend SMS von unbekannten Nummern mit verwirrtem Inhalt: “Ich bin gar nicht bei Congstar!”, “Sind sie der Telekom-Kundendienst”?, usw. Mir dämmert wofür die Betrüger meine Telefonnummer gemopst haben: In den knapp 24 Stunden haben sie derart viele andere Nummern mit Phishing-SMS angeschrieben, dass selbst Wochen später noch Leute darauf reagieren.
Wie viele das waren, kann ich nicht sagen aber da ich nicht davon ausgehe dass besonders viele Leute auf die Idee kommen auf eine Info-SMS eines Mobilfunkanbieters per SMS zu antworten, sind es wahrscheinlich eine ganze Menge.
Doppel-Fake
In diesem Zeitraum erhalte ich jedoch zwei Briefe von den Kreditinstituten Babu Green und Topmaxx24, in der sie mich zu Zahlungen im höheren dreistelligen Bereich auffordern, wegen eines gewährten Kredits. Beide Briefe sind aber fast exakt identisch, was mir doppelt komisch vorkommt. Als ich sehe, dass als Kontakt-Email eine GMX-Adresse angegeben ist, wird mir klar, dass diese Briefe gefälscht sind und die echten (aber nicht minder krummen) Kreditinstitute davon wahrscheinlich nichts wissen. Später fällt mir noch auf, dass die Briefe mit Papierbriefmarken frankiert sind. Ich ignoriere die Schreiben also, informiere jedoch die echten Institute sicherheitshalber ohne je eine Antwort zu bekommen.
Später bekomme ich mehrere Briefe von einem Inkasso-Unternehmen (Euro Invest Inkasso), das sowohl das Geld für die Babu Green-Rechnung, als auch eine weitere mir noch ganz unbekannte Rechnung eintreiben will. Hier bin ich mir unsicher, ob es sich um einen Fake-Brief handelt oder die Betrüger ihre Fake-Schulden vielleicht tatsächlich an das echte (ebenfalls shady) Inkasso-Unternehmen verkauft haben.
Die Stadt Nürnberg stimmt, auch wenn dort ein Postfach, statt des Firmensitzes auf dem Rück-Umschlag angegeben wird. Testhalber bereite ich eine Überweisung an die angegeben Überweisungsadresse vor und meine Bank warnt mich nicht über eine abweichende Empfänger-Angabe, wie sie es sonst tut.
Also schreibe ich per Einschreiben dem echten Inkasso-Firmensitz, ohne je eine Antwort zu bekommen. Stattdessen erhalte ich weitere Mahnungen mit der Behauptung ich hätte nicht reagiert von dem was ich mittlerweile für ein Fake-Inkasso-Büro halte.
Um mir später nichts vorwerfen lassen zu können, antworte ich denen per Einschreiben nun an das Postfach, weise alles zurück, kläre über den Identitätsdiebstahl auf und fordere die Zustellung der Originalrechnungen und bekomme blitzschnell eine Antwort: Alles sei mit dem Auftraggeber abgeklärt und ich müsste bezahlen. Jetzt lehne ich mich entspannter zurück: Fake.
Es wird ernst
Einen Monat nach dem Vorfall teilt mir meine Partnerin kleinlaut mit, dass sie vergessen hat mir einen Brief zu geben, den sie aus dem Briefkasten gefischt hatte und gerade erst wiederentdeckt hat. Darin: Abschluss eines Mobilfunkvertrags bei Drillisch, inklusive 2 Apple-Geräten im Wert von über 2000 Euro.
Panisch dort angerufen: Ja, der Vertrag wurde abgeschlossen und besteht. Die Geräte jedoch wurden an eine mir unbekannte Adresse in einer anderen Stadt verschickt - konnten jedoch nicht zugestellt werden. Darum wurden sie zurück an den Mobilfunkanbieter geschickt. Der Callcenter-Mitarbeiter vermutet, dass es den Betrügern nicht gelungen ist, das Paket abzufangen und entweder der angegebene Adressat irritiert das Paket zurückgesendet hat oder der Postbote das Paket wieder mitgenommen hat, als sich der Empfänger nicht korrekt ausweisen konnte. Für den Mobilfunkanbieter sei kein Schaden entstanden und der Vertrag sei rückwirkend aufgehoben und hinfällig.
Also Großes Glück im Unglück. Jedoch hatten die Betrüger einen Monat lang eine Telefonnummer auf meinem Namen zur Verfügung und haben davon sicherlich rege Gebraucht gemacht.
Die Polizei
Überraschenderweise glänzte die Polizei nicht durch Untätigkeit, sondern eine Kommissarin der Leipziger Polizei hat sich zügig bei mir telefonisch gemeldet, sich noch einmal alles erzählen lassen und versprochen all die Firmen, die Bonitätsauskünfte veranlasst hatten anzuschreiben.
Seitdem habe ich jedoch nichts mehr von denen gehört, obwohl ich nachträglich nochmal die ganze Fake-Inkasso-Dokumente nachgesendet haben.
Generell kommt mir die lokale Polizei jedoch als etwas überfordert vor, mit dieser Hausnummer von Betrügern. Ich würde erwarten dass bei diesem Maßstab die Landespolizei eingeschaltet wird. Vielleicht wurde sie das auch, keine Ahnung.
Fazit
Bis auf ein paar Versandkosten sind mir (bisher) keinerlei Schäden entstanden. Viel Zeit und Nerven hat mich das Ganze jedoch gekostet.
Ich bin vor allem beeindruckt von dem Level an Professionalität der Betrüger: innerhalb von 24 Stunden mit einer gekidnappten Telefonnummer vermutlich hunderte oder tausende SMS abzuschicken, dutzende Vertragsabschlüsse zu versuchen und mit Fake-Rechnungen noch ganz andere Angriffswege auszuprobieren - das ist schon beeindruckend.
Besonders beeindruckt hat mich jedoch eine SMS, die ich einige Wochen nach dem Vorfall erhalten habe:
SIMon: Hurra! Deine neue eSIM wurde erfolgreich aktiviert. Änderungen/Stornierung unter https://simonmobile.de-ptan.sbs/
Wirklich diabolisch clever.
Phishing-Mails sind mittlerweile auch wirklich gut geworden. Ich betreibe bestimmt seit locker 20 Jahren einen eigenen Mailserver und hab in all der Zeit auch die Spam-Mails immer aufgehoben und trainiere damit Antispam-Tools. Die Zeiten von schlecht übersetztem Deutsch und kaputten Layouts die man schnell erkennt, sind seit einigen Jahren vorbei.
Es funktioniert gut - 99% der Mails werden sofort geblockt, allerdings sind die 1% die durchrutschen, auf den ersten Blick überhaupt nicht mehr als Spam zu erkennen.
Ein Beispiel: Mein Server steht bei Hetzner und ich bekomme häufig E-Mails von Fake-Hetzner, die mich auffordern, meine Rechungen zu begleichen - das ist nicht verwunderlich, weil die IP-Adressbereiche von Hetzner bekannt sind und Angreifer sich da einfach durcharbeiten, um Opfer zu finden.
Im Textmodus sind die Mails eigentlich immer 1zu1 kopiert und leiten auch zum echten Hetzner weiter - nur im HTML-Modus stimmt die URL im Hauptbutton nicht (aber alle URLs im Footer z.B.). Wenn man da grad erst aufgewacht ist oder abends aus der Kneipe kommt und kurz in seine Mails reinschaut, klickt man da wirklich schnell drauf. Die letzte Mail hatte als Absender auch “Hetzner Support” und man hat nur anhand der eigentlichen Absenderadresse “noreply@byosupport.com” erkannt, dass das nicht der echte Hetzner-Support ist.
Grob fahrlässig finde ich, dass moderne E-Mail-Programme im Absenderfeld oft nur den Titel anzeigen und nicht die Adresse. Selbst moderne Tools wie Roundcube machen diesen Quatsch im Jahr 2026 noch. Da wird die Adresse erst angezeigt, wenn man draufhovert:
Auch K9-Mail unter Android macht den gleichen Fehler (da kann ich dann drauftippen um die Details zu sehen):
Es wäre so einfach zu erkennen, wenn man das einfach in Klammern dahinter anzeigen würde.
Auch K9-Mail unter Android macht den gleichen Fehler
Nervt mich auch, aber:
Einstellungen > Allgemein > Anzeige > Runterscrollen zum Bereich “Nachrichtenliste” > “Namen anzeigen” deaktivieren
Dann ist es umgekehrt und du siehst die Namen nur beim drauftippen:
Was mich am Meisten nervt in den letzten Monaten - der “Google Groups Spam”. Google Groups haben irgendeine Funktion, mit der Gruppen angelegt werden können, ohne dass die Mitglieder das bestätigen müssen. Und in dem Fall kann man auch die Gruppe nicht verlassen, da die eingetragene Mail-Adresse i.d.r. kein Google Account ist und das nur mit Login geht (und selbst mit Google Account auf der Mail-Adresse ist man nicht offiziell Mitglied der zugrundeliegenden Organisation und darf die Gruppe mangels Zugriff nicht verlassen). Gleichzeitig sehen viele Spamfilter die Google -Infrastruktur als vertrauenswürdig an und sortieren die nicht so schnell in den Spam-Ordner. Und alle Auto-Responder o.ä. gehen auch direkt wieder zurück über die Gruppe an alle Opfer. Hab daher ein Sieve-Script, was alle Mails, die über Google Groups versendet werden direkt in den Spam aussortiert. Da ich keine Google Groups nutze ist das dann halt die einfachste Version.
Oh, danke für den Tipp, das ist so deutlich angenehmer mit K9-Mail.
Ich bekomme oft sowas ähnliches wie den Google Groups-Spam, und zwar Ticketsystem-Spam! Bot-Accounts senden eine E-Mail an irgendein Ticketsystem, bekommen einen Weblink zurück und können dann so über ein Webinterface einfach weitere Empfänger hinterlegen und Kommentare posten, die an alle Empfänger gesendet werden.
Das ist tatsächlich sehr weit verbreitet und schwer zu bekämpfen, weil die Ticketsysteme auch zumeist von vertrauenswürdigen Servern senden und ich hab auch noch keine gute Lösung gefunden, um solche Sachen zu blockieren, da Betreff und Inhalt nicht immer irgendeinen Bezug zu einem Support-Ticket enthalten.
Echt super, dass Firmen mit null Kompetenz sowas massenhaft aufsetzen und nicht korrekt konfigurieren. 🫠
Interessant, das hab ich noch gar nicht bemerkt bei mir. Neben dem normalen Spamfilter und meine Sieve-Script hab ich sonst nur Graylisting aktiv, was auch nochmal einen Teil des Spams abwehrt.
Falls du Sieve zur Verfügung hast bei dir, könntest du schauen, ob das bei den betroffenen Absendern evtl immer wieder dieselbe Software ist und die sich über Header o.ä. verrät und darauf filtern. Ich denke mal, dass du nicht zu häufig Supportfälle auf machst, bei denen dann auch genau das System genutzt wird? In Kombi mit einem eindeutigen Betreff wie bei mir ließe sich das zum einen filtern und zum anderen bei legitimen Mails auch einfach erkennen, warum die im Spam landen.
Meine Sieve-Script dafür schaut so aus (hab da noch mehr drin, kann also sein, das für den Part zu viele Includes/Requiers genannt sind, die anderswo verwendet werden):
require ["body", "date", "editheader", "envelope", "fileinto", "imap4flags", "mailbox", "regex", "reject", "variables"]; if anyof( header :contains "List-Subscribe" "groups.google.com", header :matches "X-Google-Group-Id" "*" ) { if header :matches "Subject" "*" { set "subject" "${1}"; } else { set "subject" ""; } deleteheader "Subject"; addheader :last "Subject" "[Google-Groups-Spam] ${subject}"; fileinto "Junk"; }Ja, ich benutze Sieve! Vielen Dank für das Script, ich beobachte das mal, für den Google-Groups-Spam (den ich zum Glück nicht so oft bekomme) ist das auf jeden Fall Gold wert. 😍
Ich verlinke bei solchen Stories gerne einen Blogpost von Cory Doctorow, der selbst in dem Thema eigentlich ein Profi ist, worin er berichtet wie er selbst einem Scam zum Opfer gefallen ist und das auseinanderpflückt.
Gräm dich also nicht zu sehr fürs reinfallen: Wenn jemand regelmäßig zu Social Engineering Wettbewerben geht und trotzdem drauf reinfallen kann, weil ein mal alle unglücklichen Umstände perfekt zusammenkommen, dann kann das auch dem Rest von uns passieren. Manchmal übertönt halt was anderes alle Alarmglocken.
In 99,9% der Fälle ist das Phishing offensichtlich. In 0,1% der Fälle passt einfach alles zusammen…
Wir haben für unser Kind ein Depot angelegt, beide Elternteile haben eigene Zugangsdaten, meine bessere Hälfte nutzt ihre aber nicht. Damals wurden noch tan-listen verwendet und verschickt.
Eines Tages bekommt meine bessere Hälfte eine SMS von der “Bank”: das tan-verfahren ist nicht mehr gültig und muss erneuert werden, sonst können sie nicht mehr drauf zugreifen. Bitte gehen sie auf Bank-tanverfahren.APP
Erste Reaktion: passt alles, wir sind bei der Bank, die tan listen sind tatsächlich nicht mehr erlaubt. Erst auf den zweiten Blick dann die Überlegung, schicken die das tatsächlich per SMS und nicht per Brief? Als Absender war eine Telefonnummer angegeben, anstelle des Namen der Bank. Zuletzt dann die URL, die auf .APP endete.
Obwohl ich der Meinung war phishing zu erkennen, bin ich hier wirklich ins grübeln gekommen.
Vor solchen Links hat mich mein Passwortmanager schon 2 mal gerettet. Im ersten Moment denkt man, dass das Autofill kaputt ioder die Login-URL umgezogen ist. Spätestens beim Eintragen der neuen URL in den passwortmanager stellte ich dann fest, dass Adresse scam ist.
Drücken wir die Daumen, dass das schlimmste vorbei ist.
Ja, vor Fishing ist niemand wirklich sicher. Klar, die offensichtlichen erkennt jeder. Dadurch wird man aber auch gewissermaßen desensibilisiert. Und wir werden alle durch schlechte Userinterfaces darauf trainiert irgendwelche Meldungen und Links schnell an-/wegzuklicken. Bis man mal im Stress ist oder einen schlechten Tag hat und zu schnell auf den falschen Link klickt.
wir werden alle durch schlechte Userinterfaces darauf trainiert irgendwelche Meldungen und Links schnell an-/wegzuklicken.
Da stimme ich vollkommen zu. Ich war schon auf legitimen Seiten von Diensteanbietern, deren Interface so schlecht programmiert war, dass ich ernsthaft an einen Fake glaubte. Da geben sich Kriminelle scheinbar mehr Mühe…
Ja, ich war immer recht arrogant und dachte: da muss man nur aufpassen und dann passiert einem nichts. Bis ich mal auf eine Testphishingmail von meinem Arbeitgeber halb reingefallen bin. Halb, weil ich gesehen habe dass der Link falsch ist und gedacht habe: Man ey, die dumme Verwaltung ist zu doof die eigenen Links richtig zu versenden. Jetzt haben alle hier den falschen Link bekommen. … Der doofe war ich, gab nämlich absichtlich noch ein paar andere Ungereimtheiten, die ich in meiner Überheblichkeit nicht bemerkt hatte.
Wie du sagst: im Stress fällt man dann in die Falle.
Blöd gelaufen aber schön geschrieben. Danke erstmal dafür.
Aber warum kannst du dir blöd vor, die Nummer bei der Polizei angegeben zu haben?
Das scheint ja auch eine betroffene Person zu sein und über dieser Nummer kann man die vielleicht aufspüren und informieren. Ich meine, du hast alles richtig gemacht (bis auf den Anfang)
Ich empfehle übrigens einen Passwortmanager, der dann die URLs kennt und halt einfach nix ausspuckt, wenn die nicht stimmt.
Also raufgeklickt, dahinter die perfekt nachgebaute SIMon-Mobile-Anmeldeseite. Meine Anmeldedaten eingegeben.
Weil es bisher in den Kommentaren noch nicht erwähnt wurde, aber es einer der wichtigsten Schutzmechanismen gegen sowas ist: Jeder, absolut jeder, sollte konsequent einen Passwort-Manager mit Autofill benutzen, und dann sehr, sehr skeptisch werden wenn Autofill mal nicht funktioniert - normalerweise bedeutet das, dass man gerade nicht auf der Seite ist, auf der man glaubt zu sein.
Passwort-Manager sind wirklich in jeglicher Hinsicht win-win ohne Kompromisse - sich irgendwo anzumelden wird einfacher und sicherer, gleichzeitig. Man muss sich nur noch ein einziges Passwort merken und von Hand eingeben, alles andere macht der Passwort-Manager für dich, und sorgt ergänzend auch noch dafür dass du überall unterschiedliche und sichere Passwörter benutzt.
Noch ein Tip: Nie auf Links klicken sondern wenn man persönliche Daten eingibt immer die Adresse aus Suchmaschine / Bookmarks / eigenen Unterlagen nehmen (und dann kann man auch noch prüfen auf wen das HTTPS-Zertifikat läuft).
Ergänzend möchte ich hinzufügen: Zusätzlich, überall wo möglich Zwei-Faktor-Authentifizierung (2FA) aktivieren! Natürlich muss man weiterhin vorsichtig sein und sollte auch den zweiten Faktor nicht in ein Phishing-Formular eingeben, aber da diese Zahlencodes zeitbasiert nur wenige Sekunden gültig sind, wird es auch schwieriger für die Angreifenden und es reicht eben nicht das Passwort einmal zu ergaunern.
Richtig und wichtig! Alternativ sind Passkeys auch eine gute Sache, sind aber noch nicht so wirklich im Mainstream-Bewusstsein angekommen
Ja, Passkeys sind natürlich premium, werden aber leider auch noch nicht von allen Diensten angeboten.
Autsch! Super nervig, hoffe, du hast alles einfangen können. Schön aufgeschrieben.
Ja, ich musste auch den Gang nach Canossa antreten, vom hohen Ross “auf Fakes fallen doch nur Rentner rein” herunterzukommen.
Hatte einen Fahrrad Kinderanhänger für so ~25€ günstiger in einem kleinen Onlineshop gesehen. Also noch nicht mal so ein auffälliges “richtig viel billiger”. Hab Due Diligence angefangen: die Firma gab es im Handelsregister, die Adressen stimmten überein, sah gut aus.
Ich hab’ zu dem Zeitpunkt selbst einen kleinen Onlineshop betrieben, wollte also aus Prinzip andere kleine Shops unterstützen. Das man nur per Überweisung zahlen konnte wunderte mich deshalb auch nicht, weil die Paypal Integration bei uns auch ein ziemlicher Kampf war und bei uns auch witzigerweise Kunden häufiger per Überweisung (Vorkasse) bezahlten als per Paypal. Daher keine Alarmglocken.
Rechnung kam per Mail, Domains stimmten, Rechnung hatte alle richtigen Angaben (mit VAT Id., Rechnungsnummer, Rechnungsdatum, USt., alle Bells and Whistles). Also überwiesen.
Einen Tag später war die Domain nicht mehr zu erreichen. Überweisung versucht zurückzuholen, ging nocht mehr, weil Echtzeit Überweisung.
Tja.
Turns out: die kopieren einfach Firmendaten aus dem Handelsregister. Ich meine, fair enough, ist ja einfach. Aber krass. Mit dieser Professionalität hatte ich nicht gerechnet.
Traurige Lehre daraus: lieber nur bei Shops bestellen, die man kennt, empfohlen bekommt oder wenigstens Paypal als Zahlmöglichkeit anbieten. Tut mir leid kleine Onlineshops. Oh, und N26 meiden, die haben wohl das größte Kontingent an gefälschten Konten, sagte mir das LKA. So nach dem Motto “ja, wenn da eine Rechnung mir N26 IBAN kommt: besser nicht überweisen und ein anderes Zielkonto von der Firma erfragen” 😅
Edit: auch krass war, dass die ansonsten auch ein passendes Sortiment hatten: nicht zu klein, nicht zu groß, nicht zu wahllos für einen kleinen Shop. Normale Preise bei den sonstigen Artikeln, das war also explizit darauf abgestellt nur Leute zu diesem Fahrradanhänger zu locken.
Das ist natürlich dämlich.
Ich würde nie etwas per Überweisung zahlen. Entweder Bankeinzug, dann kann ich mir das Geld zurückholen oder wenn man nur per Kreditkarte bezahlen kann benutz ich wegwerf Karten. Dann kann man mit der Nummer nix anfangen wenn ich die deaktivier.
Besonders Vorsicht übrigens wenn nur Zahlung per Kreditkarte möglich ist. Da gibt es auch Scammer, die so gezielt Kreditkarten Daten abgreifen.
Gab auch einen guten 38C3 Vortrag zu so fake shops (in dem Fall im Modebereich), die tatsächlich auf den ersten Blick sehr professionell aussehen. Und dank SEO natürlich auch prominent von Suchmaschinen platziert werden
Wenn Paypal nicht geht nehmt wenigstens Kreditkarten, da kann man auch immer relativ lange zurück buchen.
Ich hab’ meine Mastercard bei einer reinen Online-Bank, verknüpft mit meinem Konto - die funktioniert wie eine ganz reguläre Karte , aber bei jedem Vorgang wird 2FA in der Banking-App erzwungen.
Selbst wenn jemand die Kartennummer und Prüfziffer mal rausfinden sollte: Viel Spaß damit. Ich bekomme sofort eine Benachrichtigung beim Versuch und kann die Karte instant sperren lassen.
Diese Konstellation hat auch den Vorteil, dass man über die Kreditkarte nur so viel abheben kann, wie auch Geld auf dem Konto ist. Der "Kredit"rahmen beträgt 0€. Das ließe sich theoretisch auch ändern, aber finde ich gut so - verleitet zu weniger Impulskäufen. :)
Ich schließ mich allen anderen an.
Vielen dank fürs teilen
Niemand ist 100% sicher nicht irgendwann mal doof zu clicken.
Um so wichtiger, dass man mal erfährt was so passiert/hätte passieren können
Wirklich wirklich spannend zu lesen.
Kleinen Krimi haste uns da gegönnt :)
Vielen Dank fürs teilen.
Schöner Text. Kann wirklich jedem mal passieren.
Danke für das Teilen! Zum Glück scheint es ja nochmal gut für dich ausgegangen zu sein. Die Story ist authentischer als jeder awareness - slop den ich in letzter Zeit unternehmensbedingt über mich ergehen lassen musste.
Dürfte ich deine Geschichte an ein paar Kollegen weiterleiten?
Ja klar, gerne, freut mich wenn möglichst viele das ein oder andere daraus lernen.
Super spannend zu lesen, danke fürs posten!
dass man an eine Telefonnummer nicht so leicht und anonym rankommt
Kann SIMon Mobile einen Nummernblock haben, und sie haben alle Kunden angeschrieben? Woher kennen sie sonst den Anbieter?
Ich hatte auch zuerst einen Datenleck bei SIMon mobile im Verdacht. Allerdings habe ich zuletzt auch noch eine maßgeschneiderte Phishing-E-Mail für meine korrekte Krankenkasse bekommen. Ich wüsste nicht wie die Betrüger die erfahren könnten, aus dem Zugriff auf meinen Mobilvertrag-Account. Darum kann ich mir vorstellen dass irgendwo anders ein größeres Datenleck über mich aufgetreten ist. Ich wüsste aber nicht wo…
