Betrug bei Kleinanzeigen.de - Erfahrungen mit dem "Sicher Bezahlen"-Service

Bei Kleinanzeigen.de stellt Betrug ein ernsthaftes Problem dar, das Verkäufer und Käufer gleichermaßen betrifft. Es existieren zahlreiche Betrugsmaschen, von gefälschten Anzeigen über Zahlungsbetrug bis hin zu Identitätsdiebstahl, die darauf ausgerichtet sind, unwissende Nutzer auszunutzen.

Ein Fallbeispiel veranschaulicht die Risiken, denen man ausgesetzt sein kann, wenn man auf Kleinanzeigen.de Secondhand-Kleidung verkauft. 

Fallbeschreibung

Birgit, die Tochter des Bankkunden, veröffentlichte eine Anzeige zum Verkauf von gebrauchter Kleidung zum Preis von 30 Euro auf Kleinanzeigen.de. Am selben Tag meldete sich eine Interessentin namens Martina. Sie erfragte in einem Chat unter anderem die Identität von Birgit für PayPal und erkundigte sich nach den Versandkosten. Birgit teilte diese Martina am Folgetag mit und man war sich über den Verkauf einig.

Etwas später meldete sich Martina und teilte mit, dass sie von Kleinanzeigen.de eine Warnung erhalten habe, dass es nicht ratsam sein, per Bank oder per PayPal direkt zu überweisen. Deswegen habe Martina wie empfohlen über den „Sicher Bezahlen“-Service von Kleinanzeigen.de bezahlt. Diesbezüglich müsste Birgit bald eine E-Mail mit einer Bestätigung erhalten.

Birgit war bewusst, dass es einen solchen Service gibt, wie genau dieser funktioniert jedoch nicht. Allerding erhielt sie die bereits angekündigte E-Mail auf ihrem Handy. Diese E-Mail kam vom Absender mit der Bezeichnung „Kleinanzeigen.de“ und war farblich und im Layout wie die Internetseite gestaltet und griff auch das konkrete Angebot auf. Sie erhielt eine Schaltfläche „Geld bekommen“.

Der Klick auf diesen Button führte sie zu einer Website im Kleinanzeigen.de-Design, auf der auch ein Live-Chat zu sehen ist. Die Kreditkartendaten wurden in dem gegebenen Formular angefordert, um die Gutschrift der Zahlung auf der Kreditkarte zu ermöglichen.

Birgit übermittelte die Informationen der Kreditkarte, die ihre Bank ihr ausgestellt hatte. Über den Live-Chat wurde ihr mitgeteilt, dass ein Fehler aufgetreten sei und dass diese Bank derzeit nicht unterstütz werde. Außerdem wurden einige Banken benannt, deren Kreditkarten mit dem Service konform seien.

Dazu gehörte die Bank des Vaters von Birgit, des Bankkunden. Er war bereit, seiner Tochter zu helfen, indem er den Betrag auf seiner Kreditkarte gutschrieb und ihn ihr direkt als Bargeld aushändigte. Er füllte das Formular mit den Kartendaten auf dem Handy der Tochter aus und erhielt im Anschluss eine Nachricht auf seinem eigenen Handy von seiner Bank mit einem Code, welche er zur Autorisierung in der Banking-App eingeben musste. Er verstand das so, dass es um die Autorisierung der gerade eben selbst angestoßenen Verknüpfung der Kreditkarte mit dem „Sicher-Bezahlen“-Service gehe, damit der Geldbetrag ausgezahlt werden könne.

Später bemerkte er, dass in seinem Online-Banking mehrere Buchungsvorgänge eingestellt wurden, die ihm nicht bekannt waren. Es handelte sich um recht hohe Abbuchungen, jedoch keine Gutschrift von „Sicher Bezahlen“. Die bereits vorgemerkten Abbuchungen konnten nicht gestoppt werden und eine Wiedergutschrift lehnte die Bank ab. Sie verwies darauf, dass der Vater von Birgit die Zahlungen autorisiert habe.

Was genau ist hier passiert?

Wir können auch nur vermuten. Die Annahme ist wie folgt: Es besteht die Möglichkeit, dass „Martinas“ Konto auf dem Anzeigenportal zuvor beeinträchtigt wurde. Wahrscheinlich war die tatsächliche Martina keine Assistentin der Täter, sondern wusste auch nicht, wer ihr Unrecht angetan hatte. Da „Martina“ nicht direkt nach vertraulichen Informationen gefragt wurde, sondern nach einem Datum, das genau für die einfache Abwicklung von Zahlungen im privaten Rahmen bestimmt war, sollte die Frage nach der Kennung von PayPal Vertrauen wecken. Da diese auch oft für PayPal verwendet wird, werden die Täter jedoch darauf spekuliert haben, dass sie auch an die Standard-E-Mail-Adresse gelangen könnten.

Eine E-Mail, die offenbar aus den Systemen des Anzeigeportals stammte, konnte dann nach dem Vorschieben der Warnung, lieber „Sicher Bezahlen“ zu verwenden, direkt verschickt werden. Die E-Mails und die Internetseite, einschließlich des Live-Chats, waren zwar nicht authentisch, doch dennoch äußerst professionell gestaltet. Möglicherweise hätte man dies erkannt, wenn man den E-Mail-Absender sorgfältig überprüft hätte. Dabei hätte man nicht nur den Klarnamen, der angezeigt wurde, sondern auch die Versender Adresse und die URL der Internetseite genau gelesen.

Es ist möglich, dass die Erhebung der Kreditkartennummer als erster Schritt dazu gedacht war, zu ermitteln, bei welcher Bank das Opfer sein Konto hat. Da dies häufig mithilfe der Kreditkartennummer rückschließbar ist. Die Täter konnten auf der Grundlage dieser Informationen maßgeschneiderte Maßnahmen ergreifen, die auf die Bank abgestimmt waren. Hier war die Angabe. Welche Banken in Betracht kommen und dass die ursprünglich genannte Bank nicht „unterschützt“ wird (was wahrscheinlich bedeutet, dass den Tätern kein aktuelles Angriffsmuster für diese Bank zur Verfügung steht).

Im Live-Chat wurde außerdem Social Engineering eingesetzt, das speziell auf die Bank abgestimmt war, um eine Freigabe auf dem eigenen Handy zu ermöglichen. In der Tat war das Handy des Täters mit dem Mobiltelefon des Opfers verbunden. Ab diesem Zeitpunkt hatten die Täter die Möglichkeit, ohne das Opfer beteiligt zu sein, auf das Konto des Opfers zuzugreifen und angeforderte Überweisungen mit ihrem eigenen Handy auszuführen. Es ist uns auch unklar, woher die Täter die Zugangsdaten zum Konto bekommen haben. Möglicherweise war es möglich, das Login mit einigen der abgegriffenen Daten zurückzusetzen, aber das ist Spekulation.

Die Rechtslage

Es gibt grundsätzlich zwei Bedingungen, die erforderlich sind, um gegen die eigene Bank einen Anspruch auf Wiedergutschrift von betrügerisch abverfügten Beträgen zu haben, wie hier detailliert erläutert wird. Zuallererst war der Kunde der Bank nicht berechtigt, die Kontoverfügungen eigenständig zu autorisieren, was er möglicherweise nachweisen müsste. Zweitens war es ihm nicht gestattet, grob fahrlässig dabei mitgewirkt zu haben, dass die Betrüger Zugang hatten. 
 Anders hätte die Bank einen Anspruch auf Schadensersatz gegen ihn, den sie gegen den Anspruch auf Wiedergutschrift aufrechnen könnte. Die Bank müsste nachweisen, dass sie grob fahrlässig mitgewirkt hat.

Der Bankkunde hatte die Überweisungen von seinem Konto nicht autorisiert. Er hatte sie nicht versehentlich freigegeben. Es ist wahrscheinlich, dass die Bank dies auch wusste, nachdem sie in ihre technischen Aufzeichnungen eingesehen hatte oder zumindest sehr nahe gelegen hatte. Zumindest war der Grund für die nicht erfolgte Wiedergutschrift eine Schutzbehauptung. Eine versehentliche Installation einer Bank-App auf dem Mobilfunkgerät des Täters bedeutet nicht unmittelbar die Freigabe von Überweisungen mit dieser App. Es spielt lediglich eine Rolle, wer die spezifischen Überweisungen genehmigt oder genehmigt hat. Es ist sehr wahrscheinlich, dass dies die Täter waren. Normalerweise kann dies erst nachgewiesen werden, wenn die Bank im Prozess die technischen Aufzeichnungen der Ereignisse präsentiert. Der Wiedergutschriftsanspruch besteht also zunächst einmal.

Unsere Überzeugung war, dass die Bank keinen Anspruch auf Schadensersatz hat. Es gab keine grobe Fahrlässigkeit, die von der Bank nachgewiesen werden musste. Wer einen Artikel auf einem Online-Anzeigenportal verkaufen möchte, muss darauf achten, dass mögliche Käufer sich melden. Damit unterscheidet sich der Fall bereits im Anfangsstadium von einem unbestellten Anruf eines vermeintlichen Bankmitarbeiters. In diesem Fall wurde sogar eine scheinbar echte Benutzerin des Portals kontaktiert, die auch eine scheinbar echte Adresse angegeben hat und selbst nach einem üblichen Zahlungsmittel gefragt hat. Die Erklärung des Grundes, warum man diesen nicht nutzen wollte, war genauso vernünftig wie die Lösung, die über den Service der Plattform angeboten wurde.

Die professionelle Optik der Betrugsmasche, die sogar einen funktionierenden Live-Chat umfasste, war besonders auffällig. Es ist wahrscheinlich, dass der gesamte Aufwand dazu führte, dass das Opfer die abschließende Anfrage, eine Bestätigung in seiner eigenen Banking-App zu erhalten, nicht mehr in Frage stellte, was hier erfolgreich war. Es könnte wichtig sein zu beachten, dass die Verbindung von Drittdiensten mit dem eigenen Konto oder der Zugriff auf diese Dienste unter gültiger Preisgabe der eigenen Login Daten heutzutage nicht mehr ungewöhnlich ist und daher nicht mehr alarmierend ist.

Zuletzt waren zwei Momente Gradmesser für die Bewertung: Unsere Meinung nach war es aufgrund des betriebenen Aufwands und der Tatsache, dass kein Druck aufgebaut wurde, wenn überhaupt, leicht fahrlässig, dass die E-Mail und die Website nicht als Fälschung enttarnt wurden. Es hängt vom Einzelfall ab, ob die Forderung, einen von der eigenen Bank zugesandten Code in die Banking-App einzugeben, grobe Fahrlässigkeit darstellen könnte, wenn der Angriff nicht bemerkt wird. Falls die Erklärung der Bank unklar ist oder der Zweck des Codes nicht vollständig angegeben wird, handelt es sich um grobe Fahrlässigkeit.

Es war so, dass die Nachricht und der Code missverstanden wurden, dass nur die Verbindung zum Treuhandservice mit der eigenen Kreditkarte erlaubt wurde. Darüber hinaus bestand hier die Besonderheit darin, dass der Bankkunden nicht von außen um Hilfe gebeten wurde, sondern von seiner eigenen Tochter, der gegenüber von Anfang an kein Vertrauen hatte.

Unsere Bewertung

Es bleibt häufig unklar, wie die Täter den Zugriff erlangt haben. Zunächst einmal ist dies negativ für die Bank, da sie beweisen muss, dass der Kunde fahrlässig gehandelt hat. Solange die Bank nicht genau sagen kann, was wirklich passiert ist, ist es nicht möglich, zu überprüfen, ob und was grob fahrlässig gewesen sein soll. Daher sind bloße Vermutungen nicht angemessen und sollten auch nicht ohne konkrete Beweise geäußert werden, um nicht die schlafenden Hunde zu wecken. Es ist wichtig, vorsichtig zu sein, wenn man Fragebögen von der Bank beantwortet. In manchen Fällen sind sie so konzipiert, dass sie dem Kunden eine ungünstige Vermutung einflößen, selbst wenn es unklar ist, was tatsächlich passiert ist.

Es ist wichtig, dass das Opfer des Betrugs seinem Anwalt erklärt, warum es so gehandelt hat, ohne dabei argwöhnisch zu werden, wenn es nachvollziehbar ist, wie die Täter vorgegangen sein könnten. Erst dann kann man argumentieren, dass es eine Erfolgsaussicht gibt, im Gegensatz zu grober Fahrlässigkeit. Es ist möglich, dass scheinbar unwichtige Details wie die Tatsache, dass es die eigene Tochter war, die den Vater um die Verwendung seiner Kreditkarte bat, von Bedeutung sind.