Vor 9 Tagen, es war ein Samstag, fiel mir beim Blick auf mein Konto auf, dass am Tag zuvor ein Betrag von 14,27 EUR von einem deutschen Webhoster abgebucht wurde. Mit Kundennummer und Rechnungsnummer waren alle Details der Abbuchung leicht zu erkennen, nur: ich bin nicht Kunde dieses Webhosters.
Direktamente rief ich beim Support an und erfuhr, dass ich die Domain “[xx-xxx.com]” gebucht habe. Nur dumm, dass ich selbst davon nichts wusste. Der freundliche Mitarbeiter riet mir, einen Blick auf checkdomain.com zu werfen, um die weiteren Details der Domain-Registrierung zu erfahren. Und tatsächlich: dort stand als registrierte Person ein gewisser Andre Wilms, allerdings aus dem mir völlig unbekannten Ort Kumanovo in Mazedonien, und auch mit einer Email-Adresse, die nicht mir gehört. So versicherte ich dem Support Mitarbeiter, dass nicht ich das bin, der die Seite registriert hat. Vielmehr erklärte ich ihm, dass ich offensichtlich Opfer eines Bankbetrugs geworden bin. Jemand kam irgendwie an meine Bankdaten in Verknüpfung mit meinem Namen und machte sich einen Spaß daraus, auf meine Kosten eine Domain zu hosten. Der Mitarbeiter des Webhosters riet mir, die Abbuchung zu widerrufen und dem Webhoster eine Mail mit dem Vorfall zu schreiben. Gesagt getan.
Nun wusste ich immerhin die Email-Adresse des Betrügers und schickte diesem direkt eine kurze, aber eindeutige Email:
“Hey please stop using my name and bank account details.Thanks
Andre”
Und tatsächlich, nach zwei Tagen bekam ich eine Antwort:
“Sorry but i dont use your bank account
Thanks”
Hmm .. sollte sich etwa jemand einen Spaß daraus gemacht haben, die Person hinter der Email-Adresse und mich gleichzeitig zu betrügen? Noch einmal rief ich beim Webhoster an und erfragte, wie denn eine Registrierung bei denen so funktioniert. Ganz einfach: der Neukunde bekommt eine Email mit einem Link zu einer Aktivierungsseite, auf der er ein Passwort eingeben muss, dass ihm der Post zugestellt wird. Damit war klar: Email-Adresse und postalische Anschrift gibt es wirklich, und der Betrüger hat von beiden Medien gebraucht gemacht, um die Seite, die ja nun schon online war und ein rein Flash-basiertes Forum darstellte, lebendig werden zu lassen.
Mit diesem Wissen mailte ich dem Betrüger eine weitere Email und hakte nach. Ob er denn die Domain registriert hätte, und dass es ziemlich doof für mich ist, dass nun meine Bankdaten da mit im Boot wären. Schon bald kam die Antwort:
“Yes i register this domain? so what is problem you are not only you in this world with ANDRE WILMS name, and im not from Mazedonia, is just fake adress and dont send to [the webhoster] e-mail they not care hope u understand me.!”
Ahso. Der Betrüger heißt also auch Andre Wilms. Seltsam aber, dass der Name, der zur Email verknüpft ist, auf einen “Ronald F. ” am anderen Ende der Leitung schließen lässt. So hakte ich wieder nach:
“I’m just worried because [the webhoster] used my (!) bank details and wanted 14,27 EUR from me (!) although you (!) registered this domain. So, please answer this question: What bank details have you given to [the webhoster] when you registered this domain? Your bank details, or no bank details at all? I’m trying to find out why they think they can use my (!) bank details.”
Und wieder kam die Antwort recht fix:
“All right 
i will not give to much info this is my job i find it in internet your kontonummer and blz i acidentaly use ur account. cuz i have to much in txt document many konto..and i think are fake konto , why u send to [the webhoster] email now my server is suspended i wast time for this .. look the attachments, im sorry bro so your 14,27 euro is back”
Hier musste ich tatsächlich laut lachen. Die Frage nach der Motivation meines Kontaktes zum Webhoster bei gleichzeitiger Beschwerde, er hätte jetzt Zeit verloren, zeugt dann doch von einem recht interessanten Rechtsverständnis.
Der erwähnte Anhang war ein Screenshot von seinem Rechner, der meinen Namen und meine Bankdetails im Klartext in einem Textdokument zeigt. Über und unter meinem Namen standen noch weitere Namen mit Bankdetails. Zumindest die Kontonummern der anderen Personen hatte er jedoch geschwärzt. Na immerhin.
Ich schrieb ihm zurück, wollte einfach erfahren, woher er denn nun meine Bankdaten kennt. Und schrieb ihm auch, dass er da ein gefährliches Spiel treibt, immerhin war ja die Anschrift in Mazedonien echt und auch seine Emails, der er mir schickte, wurden über die mazedonische Telekom in Skopje gesendet.
Seine Antwort überraschte mich:
“I say im sorry in the last email, listen be careful what u download cuz you pcc is infected with some trojan better format it , i was give u help ok im not from macedonia i use proxy everyday dont worry the website is suspended now”
(Alle Anwort-Emails ab dieser kamen dann übrigens von deutschen IP-Adressen – er hat also gelernt!)
Mein PC infiziert? Trojaner? Prompt ließ ich mehrere Antiviren Scanner und Spybot Searcher laufen. Mit dem mageren, aber letzten Endes beruhigendem Ergebnis, dass mein Rechner absolut sauber ist. Ich wüsste auch nicht, woher ich mir einen Trojaner eingefangen hätte. Ich tummle mich nicht auf dubiosen Tauschbörsen, klicke nicht auf ausführbare Dateien, die mir in Emails zukommen, etc. – ich bin seit 1994 online und habe ein recht gutes Gespür für vermeintliche Online – Gefahren. So fragte ich meinen neuen Email-Freund, ob er mir den vermeintlichen Trojaner untergespielt hätte. Er verneinte direkt:
“No i not have, today have alot of warez site who share information of bank account etc.”
“Warez Site”? Meine Bankdaten schafften es auf “warez sites”? Ich war baff, googelte direkt nach meiner Kontonummer und war schockiert: es gab kaum Treffer, aber der erste in der kurzen Liste führte auf einen Server in Thailand, auf dem die Datei “wilms-bottrop.html” lag. Und zumindest die Google Trefferliste, die stets zwei Zeilen Text zum Treffer spendiert, listete meinen Namen, die Kontonummer und die Bankleitzahl auf. Die Seite hinter dem Link gab es jedoch schon nicht mehr. Und mittlerweile spuckt die Google Suche nicht mal mehr diese Seite als Treffer aus. Aber egal: meine Bankdaten machten sich selbständig, und ich habe keinen Schimmer, wo der Beginn ihrer Reise war.
Natürlich habe ich einen Online-Shop im Verdacht. Ich bin Amazon Kunde, und ich habe ein Ebay Profil. Nur zwei Online Firmen, denen ich meine Bankdaten anvertraue. Bei mir nicht bekannten Online-Händlern baue ich lieber auf Lieferung per Nachnahme, aber es gibt neben den beiden großen Playern durchaus noch ein paar weitere Online Shops, denen meine Bankdaten bekannt sind. Hier vermute ich ein Leck.
Mit dem Betrüger habe ich seit ein paar Tagen keinen Kontakt mehr. Über den Titel der Webseite, die ein paar Tage unter meinem Namen lief, fand ich per Google Suche ein verdächtiges Profil irgendwo im Netz. Nach diesem Profil zu urteilen ist der Betrüger 23 Jahre, Single und Albaner, der in Mazedonien wohnt. Und er spricht etwas niederländisch. Tja .. wahrscheinlich wurde ihm die Sache etwas unheimlich, als ich ihm in meiner letzten Email an ihn direkt fragte, ob er zufällig 23 Jahre alt ist. Jedenfalls ist seitdem Ruhe.
Der Webhoster meldet sich auch nicht mehr. Der Kontakt mit den Leuten von deren Support gestaltete sich zunehmend schwierig, weil sie ohne Versicherung an Eides Statt meinerseits den Vertrag am Leben halten wollten und davon ausgehen müssen, dass ich tatsächlich die Person bin, die die Domain registriert hat. Nun riss mir der Geduldsfaden, ich verlangte nach der Abteilungsleitung des Teams Auftragsmanagement, schickte die Email in Kopie an die Rubrik “Vorsicht Kunde” des c’t Magazins; eine Rubrik, die sich um störrische Firmen im IT-Sektor kümmert. Das hat dann auch gesessen. Die nächste Email des Webhosters kam tatsächlich von der Abteilungsleitung. Und dem Wortlaut der Email nach haben sie eingesehen, dass ich – auch ohne Versicherung an Eides Statt – nicht derjenige bin, der diese Domain registriert hat. So bat ich sie im Anschluss daran, meine Bankdaten aus ihrem System zu löschen. Auf eine Antwort seitens des Webhosters warte ich heute noch. Und so muss ich davon ausgehen, dass meine Bankdaten jetzt an einer weiteren Stelle gespeichert sind. Na prima.
