Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.

Wie Kriminelle meinen Facebook-Account hackten und ich unfreiwillig Schuhe verkaufte

Kriminelle hackten mein Facebook-Profil und gaben in meinem Namen über 4000 US-Dollar aus. Was dahinter steckt.



Und auf einmal tauchte sie in meinem Facebook-Feed auf. Zwischen Beiträgen von Freunden – eine offizelle Nachricht von Facbook. An mich.

«Ausstehender Betrag: 326.73 US-Dollar. Wir konnten dein Werbekonto nicht belasten. Bitte füge eine neue Zahlungsmethode zu deinem Konto hinzu.»

Nur: Bislang hatte ich Facebook noch gar nie irgendwelche Kreditkartendaten verraten. Geld ausgegeben habe ich über das soziale Medium erst recht nicht.

Ein anderer Eindruck vermittelte mir mein Facebook-Werbekonto (dass ein solches existiert, wusste ich vorher gar nicht). Darin fand ich die Angaben zu einer Kreditkarte, die nicht mir gehört und eine Auflistung all meiner bisherigen Ausgaben.

Insgesamt

4462.82 US-Dollar

Mit Ausnahme der ausstehenden 326.73 US-Dollar war der Betrag bereits beglichen. Ein weiterer Klick und ich wusste wofür das viele Geld draufging: Um Schuhe zu promoten. Offensichtlich mit Erfolg. Dank dem Geld, das Facebook über meinen Account erhielt, erreichten alle Anzeigen zusammen insgesamt über eine Million Facebook-User. 

Diese Schuh-Anzeige habe ich unfreiwillig weiterverbreitet

Bild

bild: Screenshot Facebook

Der Verdacht lag auf der Hand: Mein Facebook-Account wurde gehackt. Ich änderte zuerst mein Passwort, führte die 2-Weg-Authentifizierung ein und meldete den Fall Facebook. Anschliessend rief ich die Medienstelle des Bundesamts für Polizei (Fedpol) an, um mehr darüber erfahren – und: Kassierte einen Rüffel.

«Hatten Sie Ihr Passwort schon länger nicht mehr geändert und benützten es für verschiedene Logins?», fragt mich Mediensprecherin Lulzana Musliu. Als ich beides bejahe, stelle ich mir vor, wie Sie am anderen Ende der Telefonleitung wohlwissend nickt. Es leuchtet ein: Unvorsichtige wie ich, vereinfachen Kriminellen, ihr Geschäftsmodell zu betreiben. In meinem Fall ein Fake-Online-Shop. So gehen die Kriminellen dabei vor:

  1. Es wird im Netz nach Daten «geangelt». Dieses Vorgehen nennt sich in der Fachsprache Phishing. «Die Kriminellen besitzen meistens ganze Listen mit Passwörter, Mail-Adressen und Kreditkartendaten, die sie bei Bedarf nutzen können», berichtet Musliu. Zum Beispiel um sich in einen Facebook-Account zu hacken.
  2. Ein Online-Fake-Shop wird aufgeschaltet. Wer hier etwas kauft, der zahlt zwar Geld, bekommt aber in den meisten Fällen das gewünschte Produkt nicht zugeliefert. Und wenn doch, dann eine Fälschung.
  3. Mithilfe von sozialen Medien wird auf die Web-Shops gelockt. Über ein gehacktes Profil wird der Link zum Shop gepostet. Damit ihn möglichst viele sehen, zahlen die Kriminellen mit einer im Internet «geangelten» Kreditkarte Geld an Facebook. «Dadurch dass sie über gehackte Profile Werbung für ihre Fake-Online-Shops machen, braucht Facebook um einiges länger, bis sie ihnen auf die Spur kommt», erklärt die Fedpol-Sprecherin. Fliegt der falsche Webshop oder das gehackte Facebook-Profil auf, geht das Spiel von vorne los.

Wie viele solche Hacking-Fälle es in der Schweiz gibt, dazu hat das Fedpol keine Zahlen. «Wir bekommen zwar seit Jahren Meldungen dazu, haben aber keine Ahnung, wie häufig es tatsächlich vorkommt», sagt Musliu. Denn: Es gibt keine Pflicht für die Meldung von Betrug im Internet. Vielmals erstatten die Betroffenen daher keine Anzeige bei der Polizei – da ja kein persönlicher finanzieller Schaden entstanden ist. «Wir raten in jedem Fall bei der zuständigen Kantonspolizei Anzeige zu erstatten, wenn der Facebook-Account gehackt wurde», sagt Musliu, trotz geringer Aufklärungsrate. «Ohne Anzeige kann die Polizei erst gar nicht gegen die Kriminellen ermitteln.»

Auch Rechtsanwalt und Informatikexperte Lukas Fässler rät dringend dazu, jeden Hacking-Vorfall bei der Polizei anzuzeigen.  «Sonst akzeptiert man das Verhalten der Kriminellen und hindert die Polizei beim Ermitteln», sagt Fässler, der von einer dramatischen Zunahme von Hackerangriffen in den letzten Jahren spricht.

«In den letzten Jahren stellten wir eine zunehmende Professionalisierung in der Cyberkriminalität fest»

Lulzana Musliu, Sprecherin Fedpol

Doch kann Facebook die Accountbesitzer zur Kasse bitten? Oder in meinem konkreten Fall: Muss ich für die offenen 300 Dollar aufkommen? Angst müsse man keine haben, dass Facebook einem für die offenen Beträge haftbar macht, meint der Anwalt. «Dafür müssten sie nachweisen können, dass man als  Accountinhaber seine Sorgfaltspflicht verletzt hat.»

Dies wäre der Fall, wenn man zum Beispiel einen Zettel mit seinem Passwort offen am Arbeitsplatz hat herumliegen lassen. Sein Passwort jahrelang nicht zu ändern, reiche aber für eine Verletzung der Sorgfaltspflicht nicht aus, so der Rechtsanwalt. «Ausser vielleicht wenn das Passwort 1234567 lautet.»

«In den letzten Jahren stellten wir eine zunehmende Professionalisierung in der Cyberkriminalität fest», sagt Musliu. Das heisst im konkreten Fall: Die Aufmachung der Web-Shops wird immer besser. So gibt es auch die früher typischen Sprachfehler immer seltener. Der User müsse den gesunden Menschenverstand einsetzen, um nicht auf ein solches Angebot reinzufallen. «Vor allem wenn der Preis zu gut ist, um wahr zu sein.»

Die Verbreitung eines Online-Shops ist nicht die einzige Möglichkeit, wie Kriminelle einen gehackten Facebook-Account missbrauchen können. Häufig wird der Identitätsdiebstahl auch für Romance-Scamming genutzt. Sprich: Es werden Männer oder Frauen angeschrieben, ihnen Verliebtheit vorgegaukelt, um dann um Geld zu bitten.

Ein solcher Identitätsdiebstahl ist mir vor einem Jahr passiert. Damals wurde nicht mein Account gehackt, sondern mit meinen Fotos ein neues Profil erschaffen. Was die Kriminellen aber damals damit bezweckten, weiss ich bis heute nicht. Denn: Mein Fake-Ich hatte eine Verlobte. Nicht die optimale Voraussetzung für Romance-Scamming.

Was ich aber weiss: Ich bin ein besonders beliebtes Ziel von Cyberkriminellen. 

Das sollte mir zu denken geben. 

«Kinder in den sozialen Medien? Das geht nicht!»

abspielen

Video: watson/Emily Engkent

«Hate Speech» bei Facebook – was toleriert wird, und was nicht

Das könnte dich auch interessieren:

9 «Ratschlag»-Klassiker, die du dir in Zukunft einfach mal sparen kannst

Link zum Artikel

Weshalb die Ära Erdogan jetzt schneller vorübergehen könnte, als du denkst

Link zum Artikel

Wer in Europa am meisten Dreckstrom produziert – und wie die Schweiz dasteht

Link zum Artikel

Schneider-Ammanns Topbeamter gab vertrauliche Infos an Privatindustrie weiter

Link zum Artikel

Mit diesen 10 Apps pimpst du dein Smartphone zum Büro für unterwegs

Link zum Artikel

25 Bilder von Sportstars, die Ferien machen

Link zum Artikel

Alle gegen Trump: Demokraten treten an zum ersten TV-Duell

Link zum Artikel

Holland ist aus dem Häuschen, weil diesem Schwimmer gerade Historisches gelang

Link zum Artikel

Das sind die besten Rekruten der besten Armee der Welt

Link zum Artikel

Christian Wasserfallen nicht mehr FDP-Vize – wegen der Klimafrage?

Link zum Artikel
Alle Artikel anzeigen

Abonniere unseren Newsletter

Themen
11
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
11Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • DerZürcher 06.07.2018 13:28
    Highlight Highlight Finde den Beitrag jetzt auch eher peinlich... 2-step verification gibts nun wirklich schon eine zeit und auch Passwordmanager gibts wie Sand am Meer...
  • Tahmoh 06.07.2018 11:53
    Highlight Highlight Danke für den Bericht. Erinnerte mich daran das ich die 2 Faktor Authentifizierung auch nicht aktiv habe. Gerade eingerichtet :-)
  • chnobli1896 06.07.2018 11:46
    Highlight Highlight Und ich rege mich jedes Mal auf wenn ich den zusätzlichen Code (welcher auf dem Natel erscheint) eingeben muss bei einem nicht registrierten Gerät. Scheint aber doch sinnvoll zu sein 🙈
  • Cpt. Jeppesen 06.07.2018 11:45
    Highlight Highlight Auch ich bin einer von 150 Millionen Yahoo Usern, deren Accountdaten und Passwort gestohlen wurde. Seitdem setzte ich KeePass ein, das gibt es für jedes OS. Das einzig lästige an so einer Lösung ist das Synchronisieren des Passwortmanagers über die verschiedenen Devices. Geht aber ganz gut, indem man sich die PW-Datenbank per Mail selbst zusendet und dann auf den Devices öffnet und importiert.
    Play Icon
    • maljian 06.07.2018 12:04
      Highlight Highlight Du kannst die Datei auch auf Google Drive oder sonst einer Cloud Lösung ablegen. So lange du dein Passwort dort nicht auch ablegst ist die Variante sicher und du kannst von Überall auf deine Passwort Datenbank zugreifen 😉
  • who cares? 06.07.2018 10:59
    Highlight Highlight Merkt man es nicht, wenn der eigene Account solche Sachen verbreitet? Ich z.B. überprüfe regelmässig mein Aktivitätenprotokoll (nach meine Stalkerfeldzügen, ob ich nicht ausversehen etwas geliket habe...). Sowas müsste da doch auftauchen?
  • hochi_ch 06.07.2018 10:56
    Highlight Highlight Sorry, das hat mit gehackt nicht viel am Hut. du hast wohl mal dein FB Login für irgendwelche Apps oder Auswertungen benutzt....nennt sich Phishing :-)
  • Ueli der Knecht 06.07.2018 10:23
    Highlight Highlight "Was ich aber weiss: Ich bin ein besonders beliebtes Ziel von Cyberkriminellen.
    Das sollte mir zu denken geben."

    Gezielte Phishing-Attacken heissen im Fachjargon Spear-Phishing.
    https://de.norton.com/norton-blog/2016/11/was_ist_spear_phishi.html

    Ein paar Tipps, um sich vor Spear-Phishing zu schützen, vom BSI:
    https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2017/Spearphishing_Mails_23062017.html
  • Slavoj Žižek 06.07.2018 10:21
    Highlight Highlight 2-factor authentification?
  • djangobits 06.07.2018 10:21
    Highlight Highlight Exgüsi @Fabio, aber Dein Facebook Account wurde nicht "gehackt", Du hast Dein Passwort exponiert...

    Die Leute sprechen immer von "mein Account wurde gehackt" (was die Schuld komplett auf den "Angreifer" schiebt), dabei müssten sie sagen "Ich bin sorglos mit meinem Passwort umgegangen" (Was einen grossen Teil der Schuld auf sie selber schiebt).

  • My Senf 06.07.2018 10:14
    Highlight Highlight Tja

    Hast den #deletefacebook Zug 🚂 wohl verpasst 😀

Die neuen Feindbilder

Weltweit gehen Behörden gegen die Techgiganten vor. Sie werden damit das Internet verändern.

Mit Verspätung müssen Google, Apple, Amazon und Facebook erkennen, was es auf sich hat mit dem berühmten Satz aus den Spiderman-Comics. «Mit grosser Macht kommt grosse Verantwortung», warnt Ben Parker seinen Superhelden-Neffen Peter. Die Internet-Giganten wollte viele Jahre lang niemand verantwortlich machen für ihr Tun. Nun wollen alle: Regierungen und Behörden rund um die Welt. Wenn Google & Co nicht Verantwortung übernehmen, wird ihnen ihre Macht genommen oder zumindest eingeschränkt.

Allein …

Artikel lesen
Link zum Artikel