Seit Ende 2014 bietet die Schweizerische Post die Dienstleistung «Meine Sendungen» an:
Empfängerinnen und Empfänger von Paketen werden vorgängig über neue Sendungen informiert (Beispiel). Mit dem Onlinedienst «Meine Sendungen» kann unter anderem ein neuer Empfangsort bestimmt werden. So kann ein Paket beispielsweise an eine völlig andere Adresse oder einen My Post 24-Automaten umgeleitet werden.
Leider haben inzwischen auch Betrüger den «Meine Sendungen»-Onlinedienst entdeckt. Sie missbrauchen die Dienstleistung, um Waren bei Onlineshops in der Schweiz zu kaufen, ohne dafür bezahlen zu müssen. Der Betrug funktioniert wie folgt:
«Meine Sendungen»-Betrug: Schritt für Schritt
- Für «Meine Sendungen» benötigt man Zugriff auf ein Nutzerkonto für die Onlinedienste der Schweizerischen Post («Post Login»). Viele Personen in der Schweiz verfügen über ein solches Nutzerkonto, weil sie beispielsweise eine Adressänderung online an die Post gemeldet haben oder WebStamp verwenden.
- Cyberkriminelle erbeuten Nutzernamen und Passwörter mit Phishing-E-Mails. Die betroffenen Nutzer werden per E-Mail, angeblich von der Post, beispielsweise aufgefordert, ihr Nutzerkonto zu bestätigen oder ein Paket abzuholen. Dafür werden die Opfer auf eine gefälschte Post-Website gelockt, wo sie ihre Zugangsdaten eingeben.
- Die Betrüger greifen auf die Nutzerkonten bei der Post zu und können so die Identität der betroffenen Nutzer stehlen. Die Zugangsdaten haben die Betrüger normalerweise nicht selbst erbeutet, sondern im Darknet gekauft. Mit den entsprechenden Angaben bestellen Sie in Onlineshops gegen Rechnung. Die Bestellungen sind gegen Rechnung möglich, weil die Betrüger die Identität von echten Personen missbrauchen. Häufig werden Waren mit einem hohen Wiederverkaufswert wie beispielsweise Apple-Hardware bestellt.
- Sobald die Betrüger von der Post informiert werden, dass ihre Bestellung unterwegs ist, leiten Sie diese an eine Adresse ihrer Wahl um – zum Beispiel an einen Hoteladresse oder an einen My Post 24-Automaten –, wo sie die Sendung durch einen Läufer abholen lassen. Anscheinend gehen viele Weiterleitungen in grenznahe Gebiete wie Genf und Lugano. Es ist deshalb von einer organisierten Täterschaft auszugehen, die grenzüberschreitend und professionell agiert.
Gestohlene Identität und offene Rechnungen bei Post-Kunden …
In der Folge haben die betroffenen Nutzer das Problem, das sie für die Bestellung, die unter Missbrauch ihrer Identität erfolgte, eine Rechnung erhalten. Aus Sicht der jeweiligen Onlineshops wurde die betreffende Bestellung ausgeführt und die Sendung zugestellt. Sie erwarten deshalb, dass die Rechnung fristgerecht bezahlt wird.
«Wer nicht reagiert, riskiert ein Inkassoverfahren bis hin zur Betreibung.»
Betroffene Nutzer müssen auf eine solche Rechnung reagieren und darauf hoffen, den jeweiligen Onlineshop davon überzeugen zu können, dass die Bestellung nicht von Ihnen stammt. Für Onlineshops ist es nicht immer einfach zu entscheiden, ob jemand ein Betrugsopfer ist oder bloss einen Grund sucht, um die Rechnung nicht bezahlen zu müssen. Für die Opfer von Identitätsdiebstahl ist deshalb eine Strafanzeige empfehlenswert.
Wer nicht reagiert, riskiert ein Inkassoverfahren bis hin zur Betreibung. Im Ergebnis geniessen die Betroffenen keine Kreditwürdigkeit mehr und können online beispielsweise selbst nicht mehr auf Rechnung bestellen.
… und wirtschaftlicher Schaden bei Onlineshops
Gleichzeitig bleiben die betroffenen Onlineshops auf ihren Rechnungen sitzen und erleiden einen Schaden.
Die Schweizerische Post lehnt jegliche Haftung ab, obwohl sie Onlineshops nicht ermöglicht, das Umleiten von Sendungen durch Empfänger zu deaktivieren. Ein solcher Schaden mindert den Gewinn im harten Konkurrenzkampf im Onlinehandel und geht letztlich zu Lasten aller Kundinnen und Kunden.
«Der wirtschaftliche Schaden ist enorm.»
Ich gehe davon aus, dass viele – auch grosse – Onlineshops und zahlreiche Kunden in der Schweiz von diesem Onlinebetrug betroffen sind. Der wirtschaftliche Schaden ist enorm. Betroffene Nutzer müssen ausserdem befürchten, dass ihre Identität nicht allein für den betrügerischen «Kauf auf Rechnung» missbraucht wird.
So schützt man sich vor diesem Onlinebetrug
Die Schweizerische Post hat angekündigt, Massnahmen zu ergreifen, deren Umsetzung und Wirksamkeit aber unklar ist.
Als vorläufige Lösung erhalten einige der betroffenen Onlineshops jeden Tag eine Liste im Excel-Format mit allen weitergeleiteten Sendungen. Die Onlineshops können dann in Handarbeit prüfen, ob Sendungen mit «Kauf auf Rechnung» darunter sind. Sofern es noch nicht zu spät ist, können sie die Sendung stoppen.
Kundinnen und Kunden der Post können versuchen, ihr Nutzerkonto durch den «Login in zwei Schritten» schützen (Kundencenter / Einstellungen / Benutzerprofil / Benutzerkonto / Login).
Die Koordinationsstelle zur Bekämpfung der Internetkriminalität (KOBIK) ist informiert, scheint sich für diese Betrugsmasche aber nicht zu interessieren und verweist an die lokalen Polizeibehörden.
Nachtrag
Bei Facebook weist ein Leser mit einem Kommentar darauf hin, dass man allenfalls auch ohne Post-Nutzerkonto dem beschriebenen Betrug zum Opfer fallen kann (Screenshot):
«Es gibt noch eine weitere grosse Schwachstelle in diesem Postsystem. Alle Personen, welche noch kein Postlogin haben, sind ebenfalls potentielle Opfer. Ein Betrüger kann sich eine Email machen. Nehmen wir vorzugsweise hans.muster@gmx.ch und meldet sich unter dem selbigen Namen an um auch sein persönliches (eben als betrüger nicht sein) Postlogin zu erstellen. Als erstes erstellt er dann eine temporäre Adressumleitung und die Bestätigung für den Login kommt bereits ans neue Ort. (Funzte zumindest vor wenigen Jahren so). Haben die Täter erstmal Vollzugriff auf den Login, kann fleissig bestellt werden mit Adressumleitung – zumindest solange bis es zu heiss wird.
Wird gegen solche Schwachstellen so wenig getan, weil am Schluss die Versicherung zahlt?»
Nachtrag 2
Wenn die E-Mail-Adresse für ein Post-Nutzerkonto geändert wird, geht an die bisherige E-Mail-Adresse nachfolgende E-Mail der Post. Wer seine E-Mail-Adresse nicht selbst geändert hat, könnte eine Phishing-E-Mail vermuten und die E-Mail deshalb ignorieren:
Folgt man dem Weblink in der E-Mail («hier klicken»), gelangt man auf eine Seite, wo man sein Passwort eingeben muss, was ebenfalls an Phishing erinnert:
Bild: Pixabay / TheDigitalArtist, medientypisches Klischeebild von einem Hacker, Public Domain-ähnlich.
Danke für diesen interessanten Artikel. Wir verschicken unter anderem aus diesem Grund bei Bestellungen in Online Shop nur noch eingeschrieben. Bei teuren Bestellungen kann man auch mit dem Zusatz Eigenhändig verschicken. Das kostet zwar 6 CHF, aber im Extremfall hat man dann wenigstens die Ware zurück.
Einschreiben können auch umgeleitet werden auf MyPost24. Das bringt also nichts.
Ein weitverbreiteter Irrtum ist, dass man sich bei der Post «Anmelden» oder «Abmelden» muss. Dem ist nicht so. Bein einem Umzug muss man sich bei der Einwohnerkontrolle anmelden sowie der Versicherung, dem Internet-Provider etc. die neue Adresse mitteilen. Die Post hat damit gar nichts zu tun. Anmelden kann man sich, nun auch über das E-Post Office, wenn man Spam bzw. (noch mehr) Werbung erhalten und seine Credentials kompromittieren lassen möchte. Beim Durchlesen der AGB des «Login Kundencenter» erkennt man, dass es sich dabei beinahe um einen Knebelvertrag handelt. Wer sich Pakete zustellen lassen möchte, macht dies am besten «Postlagernd». Gegen Vorlage der ID erhält man am Postschalter dann das Paket. Eine Gratisvariante, welche sicher ist und funktioniert. Leider ist halt der Begriff «Postlagernd» heute nicht mehr so bekannt. «Poste Restante», der richtige Name von «Postlagernd», kenn schon gar niemand mehr. Fragen Sie einmal auf einer Poststelle nach… («Tut mir leid, wir sprechen nicht Französisch».)
Ich kann beweisen, dass ich nicht bestellt habe anhand der IP Adresse. Der Online-Shop glaubt mir, aber er besteht auf der Bezahlung. Muss ich zahlen? Ich bin ja Opfer.
Wenn der Onlineshop dir das glauben würde dann müsstest du nicht bezahlen!! Eine IP Adresse ist ja kein Beweis :-)