Und auf einmal tauchte sie in meinem Facebook-Feed auf. Zwischen Beiträgen von Freunden – eine offizelle Nachricht von Facbook. An mich.
Nur: Bislang hatte ich Facebook noch gar nie irgendwelche Kreditkartendaten verraten. Geld ausgegeben habe ich über das soziale Medium erst recht nicht.
Ein anderer Eindruck vermittelte mir mein Facebook-Werbekonto (dass ein solches existiert, wusste ich vorher gar nicht). Darin fand ich die Angaben zu einer Kreditkarte, die nicht mir gehört und eine Auflistung all meiner bisherigen Ausgaben.
Mit Ausnahme der ausstehenden 326.73 US-Dollar war der Betrag bereits beglichen. Ein weiterer Klick und ich wusste wofür das viele Geld draufging: Um Schuhe zu promoten. Offensichtlich mit Erfolg. Dank dem Geld, das Facebook über meinen Account erhielt, erreichten alle Anzeigen zusammen insgesamt über eine Million Facebook-User.
Der Verdacht lag auf der Hand: Mein Facebook-Account wurde gehackt. Ich änderte zuerst mein Passwort, führte die 2-Weg-Authentifizierung ein und meldete den Fall Facebook. Anschliessend rief ich die Medienstelle des Bundesamts für Polizei (Fedpol) an, um mehr darüber erfahren – und: Kassierte einen Rüffel.
«Hatten Sie Ihr Passwort schon länger nicht mehr geändert und benützten es für verschiedene Logins?», fragt mich Mediensprecherin Lulzana Musliu. Als ich beides bejahe, stelle ich mir vor, wie Sie am anderen Ende der Telefonleitung wohlwissend nickt. Es leuchtet ein: Unvorsichtige wie ich, vereinfachen Kriminellen, ihr Geschäftsmodell zu betreiben. In meinem Fall ein Fake-Online-Shop. So gehen die Kriminellen dabei vor:
Wie viele solche Hacking-Fälle es in der Schweiz gibt, dazu hat das Fedpol keine Zahlen. «Wir bekommen zwar seit Jahren Meldungen dazu, haben aber keine Ahnung, wie häufig es tatsächlich vorkommt», sagt Musliu. Denn: Es gibt keine Pflicht für die Meldung von Betrug im Internet. Vielmals erstatten die Betroffenen daher keine Anzeige bei der Polizei – da ja kein persönlicher finanzieller Schaden entstanden ist. «Wir raten in jedem Fall bei der zuständigen Kantonspolizei Anzeige zu erstatten, wenn der Facebook-Account gehackt wurde», sagt Musliu, trotz geringer Aufklärungsrate. «Ohne Anzeige kann die Polizei erst gar nicht gegen die Kriminellen ermitteln.»
Auch Rechtsanwalt und Informatikexperte Lukas Fässler rät dringend dazu, jeden Hacking-Vorfall bei der Polizei anzuzeigen. «Sonst akzeptiert man das Verhalten der Kriminellen und hindert die Polizei beim Ermitteln», sagt Fässler, der von einer dramatischen Zunahme von Hackerangriffen in den letzten Jahren spricht.
Doch kann Facebook die Accountbesitzer zur Kasse bitten? Oder in meinem konkreten Fall: Muss ich für die offenen 300 Dollar aufkommen? Angst müsse man keine haben, dass Facebook einem für die offenen Beträge haftbar macht, meint der Anwalt. «Dafür müssten sie nachweisen können, dass man als Accountinhaber seine Sorgfaltspflicht verletzt hat.»
Dies wäre der Fall, wenn man zum Beispiel einen Zettel mit seinem Passwort offen am Arbeitsplatz hat herumliegen lassen. Sein Passwort jahrelang nicht zu ändern, reiche aber für eine Verletzung der Sorgfaltspflicht nicht aus, so der Rechtsanwalt. «Ausser vielleicht wenn das Passwort 1234567 lautet.»
«In den letzten Jahren stellten wir eine zunehmende Professionalisierung in der Cyberkriminalität fest», sagt Musliu. Das heisst im konkreten Fall: Die Aufmachung der Web-Shops wird immer besser. So gibt es auch die früher typischen Sprachfehler immer seltener. Der User müsse den gesunden Menschenverstand einsetzen, um nicht auf ein solches Angebot reinzufallen. «Vor allem wenn der Preis zu gut ist, um wahr zu sein.»
Die Verbreitung eines Online-Shops ist nicht die einzige Möglichkeit, wie Kriminelle einen gehackten Facebook-Account missbrauchen können. Häufig wird der Identitätsdiebstahl auch für Romance-Scamming genutzt. Sprich: Es werden Männer oder Frauen angeschrieben, ihnen Verliebtheit vorgegaukelt, um dann um Geld zu bitten.
Ein solcher Identitätsdiebstahl ist mir vor einem Jahr passiert. Damals wurde nicht mein Account gehackt, sondern mit meinen Fotos ein neues Profil erschaffen. Was die Kriminellen aber damals damit bezweckten, weiss ich bis heute nicht. Denn: Mein Fake-Ich hatte eine Verlobte. Nicht die optimale Voraussetzung für Romance-Scamming.
Was ich aber weiss: Ich bin ein besonders beliebtes Ziel von Cyberkriminellen.
Das sollte mir zu denken geben.
