Skimming und Online-Kreditkartendiebstahl: die Geschichte von Tommaso

25 May 2021 | Online-Risiken, Online-Risiken

Ich hätte mir nie vorstellen können, dass mir ein Kreditkartendiebstahl passieren könnte, dass ich ein Opfer des sogenannten Online-Skimming werde.
Vor ein paar Monaten habe ich einen Kauf bei einem E-Commerce-Unternehmen getätigt, das ich gut kannte und seit Jahren frequentiert hatte.

Es war ein Unternehmen, dem ich vertraute, und eine httpsgeschützte Website, so dass ich mich völlig sicher fühlte, als ich meine Kreditkartennummer eingab, um den Kauf abzuschließen.

Ich habe meinen Artikel gekauft, eine Bestätigungsmail erhalten und dann mein Produkt zu Hause. Alles war wie erwartet verlaufen.

Index

Meine Beziehung zum Online-Shopping
Meine Leidenschaft für das Fitnessstudio
Die Entdeckung des Betrugs
Ich hatte keine Ahnung, was E-Skimming war
Wie ich das Problem gelöst habe
Was ich durch den Skimming-Angriff gelernt habe

Meine Beziehung zum Online-Shopping

Früher habe ich oft auf sicheren Seiten online eingekauft, in einigen Fällen sogar auf Empfehlung von Bekannten oder Kollegen, die sich gefreut hatten und ihre Bestellungen problemlos erhalten hatten. Niemand wäre je auf die Idee gekommen, einen Datenklau. In meinem Freundes- und Verwandtenkreis war Online-Shopping kein Risiko, sondern eher eine Möglichkeit, Waren und Dienstleistungen einfacher zu kaufen, die oft nicht in physischen Geschäften zu finden oder nur im E-Commerce erhältlich sind.  

Ich hatte noch nie jemanden gekannt, der Opfer von Skimming geworden war, oder der einen Kreditkartendiebstahl im Web erlebt hatte. Ich hatte, oft in den Nachrichten, von Leuten gehört, deren Kreditkarten durch Geldautomaten geklont wurden. Ich hatte gehört, dass die Kriminellen ein Gerät am Kartenleser anbringen konnten, das die Daten auf dem Magnetstreifen kopiert. Stattdessen würden sie die PIN mit Hilfe einer gefälschten Tastatur oder einer versteckten Mikro-Kamera ermitteln. 

Allerdings hatte ich nie Angst vor Online-Datendiebstahl oder Skimming gehabt. Vor allem fürchtete ich einen Angriff auf meine Kreditkarte über eine Seite, die ich sehr gut kannte und der ich vertraute, auf der ich bereits mehrere Einkäufe getätigt hatte und jede Bestellung immer erfolgreich gewesen war.  

Meine Leidenschaft für das Fitnessstudio

Ich trainiere jetzt seit 10 Jahren konsequent: Vor der Pandemie ging ich regelmäßig 3 oder 4 Mal pro Woche ins Fitnessstudio. Ich war schon immer ein sehr sportlicher Mensch, ich liebe es, mich zu bewegen und mich meinem Wohlbefinden zu widmen, sowohl körperlich als auch geistig.

Als die Turnhallen geschlossen wurden und wir wegen der Abriegelung nach Hause mussten, gab ich nicht auf und beschloss, mein eigenes Fitnessstudio zu Hause zu bauen. Ich fing an, auf den Websites der physischen Läden, die ich bisher besucht hatte, nach verschiedenen Geräten zu suchen, aber nichts: alles war ausverkauft. Anscheinend war ich nicht der Einzige, der diese Idee hatte.

Bei mehreren Gesprächen in der Mittagspause oder an der Bar entdeckte ich, dass einige meiner Bekannten und Kollegen Sportgeräte zu Hause hatten, also bat ich sie um Ratschläge für meine Einkäufe. Sie gaben mir eine Liste von seriösen Websites, bei denen sie bereits gekauft hatten und mit denen sie sehr zufrieden waren. Da ich noch nie Opfer von Skimming oder Online-Betrug geworden war, gab ich nach längerer Suche nach dem richtigen Produkt meine Bestellung auf.

Die Entdeckung des Betrugs

Ein paar Wochen später wurde ich mitten in der Nacht, während ich schlief, durch eine Benachrichtigung von meinem Telefon geweckt. Ich hatte die Zwei-Faktor-Authentifizierung für mein Bankkonto eingerichtet und erhielt mehrere E-Mails, in denen ich aufgefordert wurde, meine Anmeldeversuche zu bestätigen. Offensichtlich schlief ich und hatte nicht versucht, auf meine Konto-App zuzugreifen. Jemand hat mein korrektes Passwort und meine E-Mail eingegeben und die Zwei-Faktor-Authentifizierung aktiviert.

Ich rannte zu meinem Computer und überprüfte mein Kreditkartenkonto. Auch dort gab es unzulässige Belastungen. Ich musste die Kreditkartenfirma kontaktieren und sie davon überzeugen, die Karte sofort zu sperren. So stand ich ohne einen einzigen Euro da, bis mein Gehaltsscheck in der folgenden Woche eintraf. Ich befand mich sogar in der Situation, meine Familie um einen Barkredit bitten zu müssen.

Am nächsten Tag kontaktierte ich sofort die Postpolizei, die bestätigte, dass meine Kreditkarte und meine persönlichen Daten gestohlen worden waren. Ich fühlte mich schlecht: Ich war einem Online-Betrug zum Opfer gefallen. Ich hatte den Kriminellen gerade meine Kreditkartennummer, meine Passwörter und meine Bankkontodaten gegeben…. Wahrscheinlich jede Information über mich.

Ich hatte keine Ahnung, was E-Skimming war

Nachdem meine Kreditkarte gesperrt wurde, wandte ich mich an die Postpolizei, um Hilfe zu erhalten und herauszufinden, wie ich mein Problem lösen kann. Im Wesentlichen erklärten mir die Beamten die Bedeutung von E-Skimming: Es ist ein Kreditkartenbetrug, bei dem Angreifer eine Sicherheitslücke ausnutzen und Schadsoftware auf der Zahlungsverarbeitungsseite installieren.

Beamte der Postpolizei erklärten mir im Detail, worin ein E-Skimming-Angriff auf legitime Websites besteht:  

  • Sie griffen die legitime E-Commerce-Website an und fügten unter Ausnutzung einer Sicherheitslücke, die sie auf dem Portal fanden, ein bösartiges Skript ein; 
  • Ich habe meine Kreditkarteninformationen eingegeben, um mit dem Kauf fortzufahren;
  • Die Kreditkartendaten wurden von dem zuvor von den Betrügern implantierten bösartigen Skript abgefangen, das den Hackern eine Kopie der Kartennummer, des Inhabers, des Sicherheitscodes usw. übermittelte;
  • Der Kauf war jedoch erfolgreich, da die Seite, auf der ich meine Bestellung aufgegeben hatte, auch die Zahlungsinformationen korrekt erhalten hat, so dass ich nicht sofort etwas bemerkt habe. Gleichzeitig verfügten die Diebe aber auch über meine Kartendaten: Tatsächlich wurden mir auch die Beträge belastet, die aus den Einkäufen der Kriminellen resultierten.

Wie ich das Problem gelöst habe

Sobald ich von dem Problem erfuhr, habe ich mich nicht nur an die Beamten gewandt, sondern auch meine Bank kontaktiert und die Kreditkarte sofort gesperrt. Die Postpolizei ließ mich eine Anzeige erstatten und die Bank entschädigte mich einige Wochen später.

Was ich durch den Skimming-Angriff gelernt habe

Es spielt sicherlich keine Rolle, wie viel Aufmerksamkeit Sie dem Internet schenken: Hacker sind immer einen Schritt voraus und lassen sich jeden Tag eine neue Möglichkeit einfallen, Nutzer auszutricksen. Was ich allen weniger erfahrenen Online-Shoppern empfehle, ist: 

  • Vergewissern Sie sich, dass die Website vertrauenswürdig ist, obwohl dies zur Abwehr von Angriffen nicht immer erforderlich ist;
  • Prüfen Sie, ob die Seite, auf der wir einkaufen, https in der Url hat, d.h. ob die Seite auch das SSL-Zertifikat installiert hat (sichtbar mit dem Vorhängeschloss);
  • Aktivieren Sie SMS-Benachrichtigungen bei jeder Transaktion, ein Ratschlag, den mir die Bank gab und den ich sofort in die Tat umsetzte;
  • Zur weiteren Sicherheit verwende ich, seit ich Opfer von Skimming wurde, für Online-Einkäufe nicht mehr meine Kreditkarte, sondern eine Prepaid-Karte, die ich bei Bedarf auflade.

Das Wichtigste, was ich gelernt habe, ist, dass es ohne Training leichter ist, in die Falle eines jeden Online-Angriffs zu tappen. Lesen, studieren und so viel wie möglich in das Thema Cybersicherheit eintauchen, und sei es nur durch das Konsultieren von Blogs im Internet, ist essentiell, um informiert zu werden und immer auf den Kampf gegen Hacker vorbereitet zu sein. 

Wenn Sie denken, dass dieser Artikel für Ihre Kollegen und Bekannten nützlich sein kann, zögern Sie nicht, ihn zu teilen, es dauert weniger als 1 Minute und macht das Web ein wenig sicherer.

cyberefund emblema bianco e arancione

Verteidigung und Entschädigung gegen die Cyberangriffe

CybeRefund Srl – Benefizgesellschaft, Sitz Piazza Luigi Vittorio Bertarelli, 1 – 20122 Milano (MI)
Umsatzsteueridentifikationsnummer und Abgabenordnung 11076520961