News & Trends
9236

Betrüger-Alarm: digitec verkauft kein Galaxy S9 für einen Euro

Dominik Bärlocher
12.2.2019

Das Samsung Galaxy S9 für einen Euro. Von digitec. Klingt verlockend, wenn auch etwas seltsam für ein in Franken handelndes Unternehmen. Hinter dem Angebot und der ganzen Website stecken Betrüger. Ich nehme die Verfolgung auf.

Digitec habe einen Rechtsstreit mit Samsung verloren und müsse deshalb die Restbestände des Samsung Galaxy S9 ohne Marge verkaufen. Dann beläuft sich der Preis des S9 laut Website auf einen Euro.

Betrug.

Oder ein Versuch, die Schweizerinnen und Schweizer zu betrügen. Die Website sieht täuschend echt aus, aber die Site, die auf den ersten Blick nach Blick aussieht ist ein Fake. Genau wie die Story auf der Seite. Den Rechtsstreit mit Samsung gibt es nicht, das Interview mit Florian Teuteberg, CEO der Digitec Galaxus AG, auch nicht.

In Zusammenarbeit mit der Digitalredaktion von Blick habe ich mich auf Spurensuche begeben.

Analyse des Betrugs

Das Ziel des Fake-Blick ist es, dich auf eine andere Seite zu locken. Dort spricht die Site dann auf einmal von einem Gewinnspiel.

Bei der Betrügerwebsite handelt es sich um einen recht klassischen, wenn auch ziemlich kreativen Fall von Phishing. Beim Phishing wird versucht, Nutzer davon zu überzeugen, dass sie bestimmte Daten bekannt geben. Denn wenn du auf dem Blick-Fake auf den Link zur offiziellen Kampagnenseite klickst, dann wirst du nach deinen Kreditkartendaten gefragt.

Zahlungsinformationen für ein Gewinnspiel? Seltsam? Nicht, wenn es nach den Phishern geht. Denn dafür haben sie bereits eine Erklärung parat.

Wenn Sie diesen Service nutzen, genießen Sie eine 5-tägige Testversion unseres Partnerprogramms. Wenn Sie nach Ablauf der fünftägigen Testphase mit einem Abonnement fortfahren, wird Ihnen eine Gebühr in Rechnung gestellt Betrag auf Ihrer Kreditkarte, die je nach Wahl von 19 bis 19 variiert neunzig Euro. Wenn der Beitrag von Ihrer Kreditkarte oder einem anderen Konto abgezogen wird Zahlungsmethode erhalten Sie Zugang zu diesen exklusiv reservierten Diensten an Mitglieder, die für den Zugang auf unserer Partner-Website bezahlen.
Samsung Scam Site

Sprich: Du gibst den Betrügern das Okay, deine Kreditkarte mit irgendwelchen Beträgen zu belasten. Gegenleistung? Nichts.

Also klick nicht auf die Links, die im weiteren Verlauf dieses Artikels kommen. Ich kann nicht garantieren, dass du da sicher bist oder dass die Gefahr gebannt ist.

Wie du einen Hack baust

Eine solche Seite aus dem Boden zu stampfen ist einfach. Ich mach das mal schnell nach.

Zutaten:

  1. Name der grössten Zeitung der Schweiz → Google «Biggest Newspaper Switzerland»
  2. Name des grössten Online Shops der Schweiz → Google «Biggest Online Shop Switzerland»
  3. Name des CEO
  4. URL der meistbesuchten offensichtlichen News Site der Schweiz → Alexa Rankings Schweiz
  5. Etwas HTML-Kenntnisse
  6. Etwas CSS-Kenntnisse

Dann etwas Zeit.

Bei entsprechender Erfahrung geht das Aufsetzen einer solchen Site höchstens eine Stunde. Hosting kostet etwa 50 Franken, eine Domain noch weitere 20. Also kannst du für 70 Franken einen solchen Scam aufsetzen. Dann musst du den Link zu deiner Fake-Seite entweder per Mail oder per Social Media verbreiten und warten.

Social Media: Das grosse Problem

Bei der Verbreitung von unwahren Inhalten, seien das Satire wie die der Fake-Zeitung TheOnion oder Scams wie der mit dem Samsung Galaxy S9, verlassen sich auf die Unachtsamkeit des Nutzers. Frontseiten von Zeitungen und dergleichen werden immer weniger interessant aus genau diesem Grund. Links zu interessanten Artikeln werden direkt verbreitet. Denn der psychologische Mechanismus funktioniert so: Wenn einer deiner Freunde den Link teilt, dann ist er automatisch vertrauenswürdiger, denn es wäre so, als ob der Mensch dir das direkt gesagt hat. Du gehst also schon mit viel Goodwill dem Link gegenüber zum Klickvorgang über. Denn dein Kumpel würde dich nicht verarschen, oder?

So kommt es immer mal wieder vor, dass deine Mutter die neueste Schockmeldung verbreitet, die offensichtlich falsch ist. Aber vielleicht klingt ein S9 für einen Euro doch recht gut, oder?

Wer steckt hinter der falschen Site?

Der oder die Phisher – ich werde ab nun von einem Einzeltäter ausgehen, auch wenn ich nur wenige Anhaltspunkte auf einen Einzeltäter habe – macht Fehler. Diese lassen auf seine Identität schliessen.

Ich gehe von folgendem aus:

  • Er ist kein Schweizer: Der Phisher spricht stets von Euro. Jemand, der in der Schweiz lebt oder schon einmal hier gewesen ist, weiss, dass wir in Franken bezahlen.
  • Er spricht deutsches Deutsch: In seinen Schreiben verwendet der Phisher das Esszett (ß). Tun wir Schweizer aber nicht.
  • Sein Deutsch ist nicht besonders gut: Dann und wann wieder hat er offensichtliche Google Translate Errors drin.

Ignorieren und weitersurfen? Das wäre wohl das Vernünftigste. Für mich aber sind solche Sites ein gefundenes Fressen. Denn ich jage solche Leute extrem gerne. Warum die Schweizer Melde- und Analysestelle Informationssicherung (MELANI) nicht öffentlicher macht, verstehe ich auch nicht. Sie machen das garantiert auch, wenn da eine Klage kommt. Die kommt übrigens. Sowohl Blick Legal wie auch digitec Legal sind am Fall dran.

So. Jetzt kommen die Links. Klick auf keine davon. Das ist nicht zwingend sicher.

Die URL, die mir zugespielt wurde, heisst 20mi.ch. Offensichtlich hofft der Scammer darauf, dass sich Leute vertippen, wenn sie zur Website der Gratiszeitung 20min.ch gelangen wollen. 20mi.ch ist aber nur eine Forwarding URL, das heisst, dass du von da direkt weitergeleitet wirst. Du bist eigentlich auf ch-nachrichten.com. Von da geht's dann weiter zum Fake-Samsung-Wettbewerb auf goldenppubs.com.

Jede URL, die du im Netz aufrufen kannst, ist irgendwo registriert. Diese Registration ist öffentlich, wenn du nicht besonders festlegst, dass du deine Daten geheimhalten willst. Jeder kann irgendeine Domain kaufen. Das heisst, dass der Hintermann oder die Hintermänner hinter 20mi.ch nicht zwingend in der Schweiz sitzen müssen.

goldenppubs.com – die grosse Unbekannte

Eine Site in der Liste wirft Fragen auf. Das ist Goldenppubs.com. Goldenppubs scheint keinerlei Einträge in irgendwelchen Whois-Listen zu haben. Nicht, dass mir die Whois-Datenbanken auswerfen, dass die Domain privatsphärengeschützt ist, sondern da kommt eine Variation von «Kein Eintrag vorhanden».

ch-nachrichten.com – Die Geschützte

Der Fake-Blick-Artikel liegt auf ch-nachrichten.com. Die Spur verliert sich auch da recht schnell, denn die Hostingdaten werfen eine Privatsphärenschutzfirma aus:

  • Admin Name: Domain Admin
  • Admin Organization: Whois Privacy Corp.
  • Admin Street: Ocean Centre, Montagu Foreshore, East Bay Street
  • Admin City: Nassau

Ich bezweifle, dass der Phisher in Nassau ist. Das ist mehr so Ostblock-Style. China wäre platter, Afrika weniger Deutsch und mehr E-Mail. Das sind zwar grobe Verallgemeinerungen und stimmen dann und wann wieder nicht, aber irgendwas sagt mir «Ostblock».

20mi.ch – Ein Name

Besser sieht es bei 20mi.ch aus. Die selbe Abfrage wie oben gibt mir eine Adresse. Hier ein Einschub: Bis die Schuld dieser Person bewiesen ist, gilt die Unschuldsvermutung. Alles, was diese Person eventuell getan hat, ist eine URL zu kaufen. Das ist nicht illegal.

  • Holder: marko nikolic
  • Vojislava Ilica 87
  • RS-11000 Belgrade
  • Serbia

Belgrad? Damit können wir arbeiten.

Die Spur führt nach Belgrad

«Marko Nikolic? Das ist ein recht geläufiger Name», heisst es aus dem Produktmanagment. Der Nachname der Brünetten endet auf -ic und auf ihrem Pult liegt ein Fanschal von Partizan Belgrad. Es ist Zufall, dass der ehemalige Manager ihres Lieblingsclubs ebenfalls Marko Nikolic heisst. «Stell dir so den Thomas Müller vor. Jeder kennt einen. Das ist Marko Nikolic.»

Dennoch: Sie kennt Leute in Belgrad. Sie lässt ihre Kontakte spielen.

«Mach dir keine Hoffnungen», fügt sie mit einem Seufzen an, «Adressen sind da so eine Sache.»

Denn in Serbien sei es so, dass oft Menschen an Adressen gemeldet sind, an denen sie gar nicht leben. Das habe «irgendwas mit Steuern und vielleicht dem Mietrecht» zu tun.

Hier verliert sich die Spur. Denn selbst wenn an der Vojislava Ilica 87 ein Marko Nikolic wohnt, können wir nicht mit abschliessender Sicherheit sagen, dass es sich um den Marko Nikolic handelt, der die Domain gekauft hat. Und selbst wenn es sich beim Marko Nikolic an der Vojislava Ilica 87 um den Käufer der Domain handelt, können wir nicht mit abschliessender Sicherheit sagen, dass er mit den Phishern gemeinsame Sache macht. Oder eines Verbrechens schuldig ist.

Frankreich: Die Finanzen der Phisher erklärt

Ein SMS aus der Blick-Redaktion erreicht mich. Eine weitere URL poppt auf: blickk.ch. Auch sie geht nach ch-nachrichten.com mit demselben Fake-Angebot. Die Domain ist auf Clovis Guertin registriert, wohnhaft im französischen Lille.

Mir wird klar, wie der oder die Phisher ihre Operation finanzieren.

Mist.

Die Kriminellen haben sich für wenig Geld eine Liste mit gültigen Kreditkartendaten aus dem Internet oder dem Darknet gezogen und verwenden diese nun, um Domains und Webspace zu kaufen. Denn 20 Franken hier und 13 Franken da fallen auf einer Kreditkartenabrechnung nicht zwingend auf.

Einmal geklaut können Betrüger so jahrelang kleine Beträge von deiner Kreditkarte abbuchen, ohne, dass du es merkst. Du merkst dann erst die Tissot Bridgeport für 2 265 Franken. Das lohnt sich nicht. Das macht ein Krimineller einmal, dann machst du ein Riesenfass auf, Anzeige, Polizei, Strafverfolgung und die schöne Tissot-Uhr muss irgendwo hingeliefert werden, wenn ein Krimineller diese will. Eine Abo-Falle hingegen ist elegant. 20 Euro pro Monat sind subtil genug, dass sie unter dem Radar fliegen können. Bei einem Lockvogelangebot wie einem Samsung Galaxy für einen Euro fallen vielleicht 100 Personen rein. Das sind 20×100 Euro, also 2000 Euro im Monat.

  • Hintergrund

    Das Darknet: Ein wichtiges Instrument für die Freiheit

    von Dominik Bärlocher

Auch wenn die Betrüger nicht an der Adresse in Belgrad sitzen, so werde ich das Ostblock-Gefühl nicht los. Angenommen, das waren die Russen. Dann beträgt der monatliche Durchschnittslohn 469 Euro. Da braucht ein Krimineller nur 25 Menschen, die auf ihn reinfallen und er kann gut leben. Bei 100 Genarrten ist ein Krimineller schon ziemlich verdammt gut dran. Der Aufwand für die Masche liegt, inklusive Adressliste, bei höchstens 150 Euro und etwas Zeit. Das lohnt sich.

Hier endet die Jagd nach den Betrügern. Klar, ich könnte dem weiter nachgehen, aber ich informiere dich lieber über die Masche als ewig Betrüger zu jagen. Denn hier wird es schwierig. Ich könnte Stunden investieren, Tricks aus der Information Security anwenden, Kollegen fragen, und so weiter. Aber die Chance, dass am Ende jemandem Handschellen angelegt werden, ist verschwindend klein. Denn wenn der Kriminelle Tor Browser verwendet, dann ist die Suche allerspätestens an seiner Exit Node fertig. Am Ende bleibt nur eines zu sagen: Seid vorsichtig, seid misstrauisch und fragt lieber einmal zu viel nach.

Unsere Customer Service Hotline findest du von Montag bis Freitag zwischen 9 und 18 Uhr unter digitec@digitec.ch oder unter +41445759500.

So. Fertig. Stay safe. Und Samsung Phones für einen Euro? So ein Quatsch.

Update 12.02.2019 // 12:50 Uhr

Lorenz Keller, der Journalist, dessen Name auf der Scammer-Seite als Autor genannt wird, hat auf Blick.ch einen Artikel zum selben Thema veröffentlicht.

92 Personen gefällt dieser Artikel

User Avatar
User Avatar
Dominik Bärlocher
Senior Editor
dominik.baerlocher@digitecgalaxus.ch

Journalist. Autor. Hacker. Ich bin Geschichtenerzähler und suche Grenzen, Geheimnisse und Tabus. Ich dokumentiere die Welt, schwarz auf weiss. Nicht, weil ich kann, sondern weil ich nicht anders kann.

Computing
Folge Themen und erhalte Updates zu deinen Interessen

36 Kommentare

Avatar
later