Passwort-Klau: Betrüger leiten Pakete zu sich selber um

Über einen Online-Dienst der Post können Kunden Pakete an eine beliebige Adresse umleiten. Betrüger missbrauchen den Dienst, indem sie mit geklauten Login-Daten zunächst im Internet Waren bestellen und dann die Pakete umleiten. Sie holen die Waren ab, die betrogenen Kunden erhalten die Rechnung.

Ein «Espresso»-Hörer aus dem Kanton Zürich fand nach den Ferien die Monats-Rechnung der Swisscom im Briefkasten vor. Zusätzlich zu den normalen Abokosten waren darin rund 2000 Franken für zwei iPhones aufgeführt. Diese hatte der Hörer jedoch nie bestellt – und auch nicht erhalten.

Betrüger konnten mit Login-Daten machen, was sie wollten

Als er bei der Swisscom nachfragte, wurde ihm bestätigt, dass eine Bestellung über sein Konto getätigt worden war. Offenbar hatten sich Unbekannte seine Login-Daten beschafft und konnten so im Online-Konto nicht nur die teuren Smartphones bestellen, sondern auch die Mails des Swisscom-Kunden vorübergehend auf eine andere Adresse umleiten.

So bekamen die Betrüger auch ein Mail der Post, das den Versand des Pakets ankündigte. Da sie zusätzlich über die Login-Daten des Postkontos des Swisscom-Kunden verfügten, konnten sie dort über den Dienst «Meine Sendungen» eine Umleitung des Pakets an einen Paketautomaten in Lugano veranlassen. Dort konnten sie unbehelligt und ohne weitere Kontrolle das Paket mit den iPhones abholen.

Viele Fälle genau nach dem gleichen Muster

Dieser Fall lief genau nach dem Schema ab, das der Zürcher Anwalt Martin Steiger diese Woche in seinem Blog publik gemacht hat. Martin Steiger geht davon aus, dass es viele solcher Fälle gibt. Die Betrüger hätten die nötigen Zugangsdaten normalerweise nicht selbst erhalten, sondern im Darknet gekauft.

Möglich machen laut Martin Steiger die Masche zwei Faktoren, wie er im SRF-Konsumentenmagazin «Espresso» erklärt: Erstens könne in der Schweiz bei relativ vielen Online-Shops per Rechnung bestellt werden, und zweitens sei es mit erbeuteten Zugangsdaten über ein Online-Konto bei der Post einfach, jede Sendung an eine beliebige Adresse umzuleiten.

Vorsicht bei Phishing-Mails

Post-Sprecher Oliver Flüeler bestätigt, dass es mehrere Fälle gegeben hat. Die Post lehnt in solchen Fällen jede Haftung ab. Die Betrüger seien an die Zugangsdaten gekommen, die Postkunden zuvor preisgegeben hätten. Zumeist sei dies wohl aufgrund von betrügerischen Phishing-Mails geschehen, die auch im Namen der Post verschickt werden.

Im aktuellen Fall bestreitet der Post-Kunde, mit seinen Daten unvorsichtig umgegangen zu sein. Die Betrüger müssten auf andere Weise an diese gekommen sein. Dies lässt sich nicht mehr abschliessend beurteilen, das Problem der offenen Swisscom-Rechnung bleibt. Diese hat der Kunde sofort bestritten und auch Strafanzeige gegen Unbekannt bei der Polizei erhoben.

Rechnung bestreiten und Anzeige bei der Polizei

Laut Anwalt Martin Steiger hat er sich damit genau richtig verhalten. Unter diesen Voraussetzungen müssten Opfer der Masche in den meisten Fällen die Rechnung nicht bezahlen. Die Swisscom lässt dies noch offen und erklärt auf Anfrage von «Espresso», man prüfe den Fall nun zusammen mit der Post und der Polizei. Bis die Prüfung abgeschlossen ist, sei eine Mahnsperre für die Rechnung verfügt worden.

Online-Konto der Post Bild in Lightbox öffnen.

Bildlegende: Einstellungen im Online-Konto der Post Post.ch / SRF

Login-Bestätigung per SMS

Wer verhindern will, dass Betrüger auf seine Konten zugreifen, sollte wo immer möglich eine sogenannte Zwei-Faktoren-Authentifizierung einrichten. Dabei muss jedes Login in ein Konto über einen Code bestätigt werden, der per SMS an das eigene Mobiltelefon gesendet wird. Diese zusätzliche Sicherheit kann auch im Online-Konto der Post eingestellt werden (Siehe Bild – Unter Kundencenter/Einstellungen/Benutzerprofil/Benutzerkonto).