Redaktioneller Hinweis: Sergey Dolya, Autor dieses Beitrags, ist einer der populärsten russischen Blogger. Der Hack passierte einer guten Freundin. Wie sich nach Veröffentlichung des Originalartikels herausstellte, war Katya Turtseva, hochrangige Angestellte einer internationalen IT-Firma, das Opfer. Wir erwähnen das, um klar zu machen, dass das Opfer in diesem Fall das ein oder andere über IT-Sicherheit wusste.
Kürzlich wurde das Skype-Konto einer Freundin gehackt. Die Betrüger nutzten diese Gelegenheit, den Menschen auf ihrer Kontaktliste Geld zu stehlen. Und in nur einer Stunde erhielten sie über 100.000 Rubel (etwa 1.370 Euro)!
Den Dieben kam dabei zu Gute, dass die Kontaktliste viele Personen enthielt: etwa 300. Die Kriminellen baten die Freunde des Opfers um kleine Summen geliehenen Geldes – 15.000 Rubel (etwa 220 Euro) „bis morgen“. Dieser Betrag ist die maximale Summe, die man mit einer Überweisung bei Yandex Money (einem beliebten russischen Zahlungssystem) transferieren kann.
Die Geschichte dazu war simpel gestrickt: „Katya“ will etwas online einkaufen, hat auf ihrem Yandex-Money-Konto aber kein Geld. Dieser minimale Ansatz machte es glaubwürdig und die Opfer glaubten, dass sie wirklich mit Katya sprachen. Sie überweisen das Geld, ohne ihre Freundin anzurufen; manche sendeten das Geld sogar zweimal.
Die oben gezeigte Konversation fand zwischen den Betrügern (B) und einer der Freundinnen (F) des Opfers statt:
- B: OK. Ich komme direkt zum Punkt: Ich brauche deine Hilfe.
- F: Was ist passiert? Raus damit! Und schick mir ein Foto.
- B: Ich möchte mir bis morgen Geld leihen)
- F: Wie viel? Ich kann dir Geld schicken, wenn ich genug auf meinem Konto habe.
- B: 15tausend)
- F: OK, sicher. Wohin soll ich es schicken?
- B: Danke)
- F: Sag mir, wohin ich es schicken soll?
- B: Ich muss mit Karte zahlen, aber meine ist leer. Kannst Du zahlen?
- F: Kein Problem
- B: http.yandex…. [Link zur Zahlungsseite]
- F: Ich brauche die Kontonummer des Empfängers
- B: hey! Wo bist du?
- F: Hab Windel gewechselt
- B: oh)) Hier die Nummer: [Kontonummer der Betrüger]
- F: Ich mach ein Foto der Rechnung und muss Vanya wieder zum Einschlafen bringen. Er weint.
- B: OK, ich bin online
- F: OK
- B: Oh, Lena, wenn ich gerade dabei bin. Hast Du noch weitere 15.000? Wenn nicht, ist das OK, du hast bereits viel geholfen! Aber wenn du sie hast, sende ich dir morgen 30.000 zurück + Kommission auf meine Kosten
Als das Ganze entdeckt wurde, zeigte sich, dass es schwer ist, etwas zu unternehmen. Einige Tage lang wurde mit dem Sykpe-Support verhandelt: Die Mitarbeiter brauchten über 24 Stunden, um zu verstehen, was vorgefallen war. Als sie kapiert hatten, dass Katyas Konto gehackt worden war, schickten sie ihr einen Link zu einem Passwort-Wiederherstellungsformular und ignorierten den Teil ihrer Nachricht, in dem sie erklärte, dass die Betrüger auch die damit verknüpfte E-Mail-Adresse geändert hatten.
Dann bat der Support Katya darum, ein Bestätigungsformular auszufüllen – zwei Mal. Das war am dritten Tag nach dem Betrugsfall. Die Betrüger schickten nach wie vor Anfragen an die Mitglieder der Kontaktliste. Der Support weigerte sich, Katyas Konto zu blockieren, so lange die Mitarbeiter den Fall nicht durch und durch geklärt hätten.
Katya beantwortete alle Fragen des Bestätigungsformulars richtig, bis auf eine: Wann ihr Skype-Konto erstellt worden war. Der Support hielt die ganze Sache für zu kompliziert und empfahl ihr… ein neues Konto einzurichten! Bis dahin hatten die Betrüger bereits über 4.500 Euro gestohlen.
@dolyasergey erzählt, wie es einer Freundin erging, deren #Skype gehackt & für Betrug missbraucht wurde
Tweet
In der Zwischenzeit versuchte eine von Katyas Freundinnen, eine Rückerstattung zu bekommen. Sie blockierte ihre Karte und informierte die Bank, die Zahlung zu stornieren. Ihre Anfrage wurde formell angenommen. Die Bank bestätigte, dass sie niemals mit dem entsprechenden Händler interagiert hatte und bat sie, eine Beschwerde bei der örtlichen Polizei einzureichen. Ihre Bank verlangte eine Kopie dieser Beschwerde, um eine Untersuchung des Falls einleiten zu können.
Die Polizei schickte sie allerdings zurück zur Bank: Neben einer ganzen Menge verschiedener Dokumente benötigten sie auch eine Bestätigung der Bank, dass eine Untersuchung gestartet wurde. Das war ein Teufelskreis, aus dem sie nicht ausbrechen konnte. Zudem war hier eine lokale Polizeibehörde im Spiel, die mit solchen Dinge keine Erfahrung hatte. Die Polizei sagte Katyas Freundin, sie solle ihre Anfrage besser an die Polizeizentrale in Moskau schicken.
Danach sprach Katyas Freundin wieder mit der Bank. Ihre Karte und die Überweisung wurden gesperrt, doch… die Überweisung war damit nur gestoppt, bis der Händler sie anfragte. In diesem Fall würde die Bank das Geld überweisen. Sobald dann eine Untersuchung starten würde, würden sie die Bank des Händlers um eine Rückerstattung bitten. Eine erfolgreiche Lösung dieser Sache scheint also unwahrscheinlich.
Als andere die Betrüger anschrieben, waren diese ganz entspannt und guter Laune. Sie glaubten nicht, dass die Polizei etwas unternehmen würde. Sie verstanden offensichtlich die Unzulänglichkeiten des russischen Rechtssystems kombiniert mit den Sicherheitsrichtlinien von Skype. So lief die Unterhaltung mit den Kriminellen:
— ***, Jungs, gebt uns ein Interview, zumindest im Chat
— ***, f*** off, don’t f*** my brain)
— Kommt schon, wir sind neugierig. Katya sagt, ihr habt bereits 100.000 Rubel
— Sagt ihr, sie soll zur Polizei gehen. Und Gott schütze sie dort… und ich bin mit Anonymität gesegnet :C
— Es ist unwahrscheinlich, dass ich deine Anonymität im Chat aufdecken kann
— Du störst mich
Es scheint, dass man zum Schutz vor so einem Fall nur eines tun kann – sein Konto schützen. Hier einige Tipps dafür:
— Der beste, offensichtlichste und gleichzeitig am häufigsten ignorierte Tipp ist, ein zuverlässiges Passwort zu verwenden! Jeder weiß das, doch es gibt immer noch eine Menge gedankenloser Anwender.
— Verwenden Sie ein Passwort niemals für verschiedene Dienste. Denn wenn ein bestimmter Dienst kompromittiert wird, könnten Sie damit all Ihre Konten verlieren.
— Verwenden Sie die Zwei-Faktoren-Authentifizierung, um Ihre Konten zu schützen. In diesem Fall erhalten Sie einen kurzen, einmaligen Code per SMS oder E-Mail, den Sie als zweites Passwort verwenden.
— Klicken Sie niemals auf verdächtige Links: Es gibt viele Webseiten, die Ihre Daten stehlen. Das wird Phishing genannt. Sie sollten auch nie auf Mails und Nachrichten von Unbekannten antworten.