Es war an einem Mittwochabend. Meine Frau und ich sassen – wie so oft – nach dem Abendessen gemütlich im Wohnzimmer und schauten eine Krimiserie. Wir sind beide Serienjunkies, und diesmal gab es «Reacher» auf Amazon Prime. Mega spannend. Wir lagen also auf dem Sofa und verfolgten, wie Jack Reacher seinen aktuellen Fall löst. Gerade wird es richtig spannend, da fällt meiner Frau ein, dass sie noch keine Vignette für Österreich hat. Und sie braucht sie bis Freitag, weil sie übers Wochenende zu ihrer Freundin fährt. Ich schnappe mir schnell mein iPad – so ein Ticketkauf ist ja nebenbei gemacht, ohne extra die Serie pausieren zu müssen … dachte ich.
Fehler 1:
Schnell beim Fernsehen bestellen Ich gebe bei Google ein: «Vignette Österreich». Der oberste Link ist gesponsert. «Gesponsert» heisst aber nicht automatisch seriös – sondern nur, dass jemand dafür bezahlt hat, dort zu erscheinen. In diesem Fall: Betrüger. Im Fernsehen wird es gerade spannend – Reacher betritt das Haus der Verdächtigen. Mit einem Auge schaue ich fern, mit dem anderen aufs iPad.
Fehler 2: URL nicht kontrolliert
Ich klicke auf den ersten Link, ohne zu hinterfragen, warum die ASFINAG plötzlich Werbung schalten sollte. Und die Seite sieht bekannt aus – ich habe dort ja schon mehrfach bestellt. Was ich nicht bemerke: Die URL enthält einen kleinen, aber entscheidenden Unterschied. Statt Asfinag steht dort Afsinag. Das ist typisch für Internetbetrug. Die Kriminellen versuchen immer, eine Adresse zu benutzen, die auf den ersten Blick richtig aussieht.
Exkurs:
Schutz zu Hause vs. Schutz im Büro: Auf meinem geschäftlichen Laptop wäre die Seite vermutlich blockiert worden. Es gibt viele solcher Fake-Seiten mit ähnlich aussehenden Adressen – zum Beispiel asfina-at-shop.info.
Da mir der Unterschied in der Adresse nicht auffällt, bestelle ich wie gewohnt die Vignette. 11.50 € – das kommt mir richtig vor. Da mir die falsche Adresse nicht aufgefallen ist und ich nur das grosse «Asfinag» gesehen habe, mache ich mit dem Bestellvorgang weiter. Ich bin nicht besonders wachsam – schliesslich geht es ja «nur» um etwa 12 €. Was soll da schon passieren? Da war mein nächster Fehler.
Fehler 3: «Ist ja nur ein kleiner Betrag … »
Ich gebe meine Kreditkartendaten ein. Der Vorgang dauert ungewöhnlich lange. Ich bin genervt, weil ich verpasst habe, was Reacher gerade gesagt hat – also zurückspulen. – Warum lädt die Seite so langsam? Jetzt erscheint ein kleines Fenster mit einem langen Text. Ich lese nicht weiter – sieht nach dem üblichen Blabla aus. Aber da stand (etwas weiter unten im Text):
«Um Ihre Kreditkarte zu verifizieren, buchen wir einen kleinen Betrag zwischen 0,01 € und 5,00 € ab. Der Betrag wird sofort zurückgebucht.»
Klingt harmlos – ist es aber nicht. Solche Verifizierungen gibt es bei seriösen Shops nicht. Ein weiteres Warnsignal, das ich übersehe. Und jetzt kommt Fehler 4, der eigentlich fatale.
Fehler 4: Schnell genehmigt
Endlich steht auf der Website, dass meine Karte geprüft wurde und ich die Zahlung in der App freigeben muss. Ich schaue aufs iPhone – da ist tatsächlich eine Nachricht. Gleichzeitig geht im Film die Action los – Reacher wird im Keller angegriffen, heftige Schlägerei. Meine Frau und ich fiebern mit. Ohne genau hinzusehen, tippe ich auf die Meldung, FaceID entsperrt – und ich bestätige die Zahlung. Als ich bestätige, sehe ich kurz: 500 €! – aber ich habe schon bestätigt!
Das ist ein weiterer Trick: Im Text stand etwas von 0,01 € bis 5,00 €, aber in der
Zahlungsfreigabe taucht plötzlich 500 auf. Die Betrüger hoffen, dass man es in der Hektik übersieht, was in meinem Fall auch funktioniert hat.
Der Fernsehabend ist gelaufen. Ich stoppe die Serie, öffne die Migros-Kreditkarten-App «one» – und sehe: 500 € wurden abgebucht. Der Betrag ist als «provisorisch » markiert. Was das heisst, finde ich auf der Webseite: «Eine Transaktion ist provisorisch, wenn sie zwar autorisiert, aber noch nicht abgerechnet wurde. Änderungen sind noch möglich.» Ich sperre die Karte sofort und beantrage auch direkt in der App eine neue – kostet nochmal 20 Franken. Sicher ist sicher. Dann rufe ich die Hotline der Migros Bank an. Die 500 € sind weg – aber: Es gab bereits einen Versuch, weitere 5 000 € abzubuchen. Zum Glück war die Karte da schon gesperrt.
Ob die Kreditkartenversicherung oder die Bank etwas zurückerstattet? Unklar. Am Telefon hiess es nur, ich sei wohl selber schuld – schliesslich habe ich die Zahlung genehmigt. Ich fülle trotzdem das Formular aus – in der Hoffnung auf Kulanz. Ein teurer Fernsehabend …
Auch ein Leiter Informatik ist nicht zu 100 Prozent gegen Cyberbetrug gefeit. Aber meine Panne kann dir vielleicht helfen, damit dir so etwas nicht auch passiert.
Deshalb meine Tipps:
- Nie unkonzentriert Zahlungen durchführen.
- Es geht nie um viel oder wenig Geld, sondern es geht um deine Daten!
- Prüfe die Webseiten sorgfältig.
- Lies gründlich, was dir deine Bank per SMS oder in der App schickt.
