Packstation-Betrug auf dem Vormarsch
Geändert am 07.08.2008
Zunehmend werden in Kleinanzeigen für die Bereitstellung einer Packstation-Adresse 100 Euro geboten. Die Anwerber benutzen die Packstation zum anonymen Empfang von Waren, die sie nicht rechtmäßig erworben haben. Unwissende Jobsucher werden so zu Handlangern von Kriminellen, die Verkäufer im Online-Handel betrügen.
Der Ablauf
Mit geringem Aufwand 100 € zu verdienen, klingt verlockend für viele Jobsucher, die in Online-Kleinanzeigen nach Verdienstmöglichkeiten suchen.
In den Inseraten erklärt der Anwerber meist, dass ein kleiner Internet-Handel betrieben werde und dazu DHL-Packstationen an verschiedenen Orten gebraucht würden, um „flexibel“ zu sein.
Als Gegenleistung für die Zahlung eines Festbetrages und die in Aussicht gestellte monatliche Vergütung werden lediglich die kostenlose Online-Anmeldung einer Packstation und der Versand der Zugangsdaten verlangt - entweder per E-Mail („PostNummer“ und „PostPIN“) oder per Brief (inklusive Zugangskarte, sog. „Goldcard“).
Die angeblichen Firmeninhaber benutzen Phantasienamen, die in jeder Annonce beliebig wechseln, obwohl immer ähnliche Texte benutzt werden. Der spätere Besitzer der Zugangscodes zum Empfang der Pakete ist damit völlig anonym.
Betrug am Verkäufer
Kriminelle bestellen Ware im Online-Handel bei großen Versandhändlern oder bei Anbietern auf Auktionsplattformen. Wenn die Zahlung gutgeschrieben wurde, versendet der Verkäufer an die angegebene Adresse: die Packstation. Zu diesem Zeitpunkt ahnt er noch nicht, dass die Bezahlung beispielsweise mit gefälschten oder gestohlenen Kreditkartendaten oder einem durch Phishing übernommenen PayPal-Account erfolgte. Die Zahlung wird kurze Zeit später vom rechtmäßigen Eigentümer der Kreditkarte oder des PayPal-Accounts zurückgebucht. Der Verkäufer ist dann die Ware und das Geld los.
Eine Nachnahme-Sendung kann an der Packstation direkt mit einer Kreditkarte bezahlt werden; auch damit kann sich der Verkäufer nicht gegen Betrug absichern.
Bezahlung mit PayPal und Stornierung / Rückbuchung
Besonders einfach ist die Bezahlung mit PayPal-Accounts, die durch Phishing übernommen wurden. Beim Online-Dienstleister PayPal sind einzelne Transaktionen nicht durch ein TAN-Verfahren o.ä. abgesichert, wie man es beispielsweise von Banken kennt. Ein einmal gekaperter PayPal-Account kann also sofort für betrügerische Aktivitäten genutzt werden.
Jeder PayPal-Account kann bei einem beliebigen – ebenfalls gekaperten oder speziell für den Betrug angelegten – eBay-Mitgliedskonto hinterlegt werden, um sofort nach dem Kauf die vermeintliche Zahlung auszulösen und den Verkäufer damit zum schnellen Versand zu veranlassen. In den eBay-Foren wird in letzter Zeit vermehrt über solche Vorfälle berichtet. Betroffene schildern den Hergang jeweils aus ihrer Sicht.
Ein vermeintlicher Käufer entdeckt Einkäufe auf seinem Mitgliedskonto, die er nicht selbst veranlasst hat:
»Eine sofortige Überprüfung auf meinem ebaykonto ergab, das 16 Artikel zwischen dem 3.6 und 5.6. per Sofortkauf ersteigert wurden. Ich habe sofort einige verkäufer per mail verständigt, dass ich nicht der Käufer bin und auch keine Zahlung über Paypal veranlasst habe. […] Alle Verkäufer haben sich zwar gewundert, das die Ware nicht an mich, sondern an die oben genannte Adresse verschickt werden sollte. Da sie aber über ebay eine mail erhalten hatten, worin darum gebeten wurde, die Ware an die Packstation zu verschicken, weil sich der Käufer auf Montage befindet und zu Hause niemand die Ware entgegen nehmen kann, kamen sie diesem Wunsch nach.«
Ein Verkäufer berichtet, wie er zum Versand veranlasst wurde: »Habe am 23.05.2008 ein Apple i-Pod touch […] für 249,-- verkauft (per Sofortkauf) und Stunden später das Geld per Paypal […] überwiesen bekommen. Am selben Tag schreibe ich dem Verkäufer das ich das Geld erhalten habe und die Ware zum Versand fertig ist. Der Käufer schrieb mir zurück […] das er auf Montage sei und ich ihm das Gerät an eine Saarbrückener Packstation […] verschicken soll. Kein Problem dachte ich, wer zahlt kann sich ja aussuchen wohin das Ding geht.«
Bereits zuvor hat der Inhaber eines missbrauchten PayPal-Mitgliedskontos um Rat gefragt:
»Ende Mai wurde durch Pay-Pal von meinem Girokonto zweimal der Betrag von 228 Euro abgebucht. Da ich nichts gekauft hatte, ließ ich die Abbuchung sofort zurück gehen.
Zeitgleich erhielt ich von Pay-Pal eine EMail, dass möglicherweise ein unberechtigter Dritter auf mein Konto zugegriffen habe.«
Er schließt mit der Frage: »Wer hat Ahnung, wie ich bei Pay-Pal oder über Ebay jemanden erreichen kann, der mir eine vernünftige Auskunft gibt«? Die Ermittlungen beim Packstation-Betrug gestalten sich schwierig, da im Ablauf reale Personen betroffen sind, die Täter aber hinter Phantasie-Namen anonym bleiben können.
DHL / Zustellung an Packstationen
Der Name des Empfängers einer Sendung an eine Packstation muss nicht mit dem Namen des Inhabers der „Goldcard“ übereinstimmen.
Diese Sendungen wurden an dieselbe Packstation und „PostNummer“ adressiert, die verschiedenen Empfängernamen waren nicht identisch mit dem Inhaber der Goldkarte. Beide wurden (zeitgleich!) ausgeliefert; offenbar richtet sich die Zustellung nur nach der Angabe der korrekten „PostNummer“.
Besonders findige Betrüger lassen sich die ergaunerten Waren somit einfach an einen Namen schicken, der beispielsweise mit dem Inhaber des übernommenen PayPal-Accounts übereinstimmt. Da PayPal dem Zahlungsempfänger außer dem Namen des PayPal-Accountinhabers nur dessen Lieferadresse (= die Packstation) mitteilt, hat ein Verkäufer keine Möglichkeit, einen Packstation-Betrug aus den vorliegenden Informationen zu erkennen.
Bei jeder PayPal-Zahlung trägt immer der Zahlungsempfänger das volle Risiko eines Zahlungsausfalls. Das gilt insbesondere auch für den Fall, daß die Zahlung von einem mißbräuchlich verwendeten PayPal-Account erfolgte. Unter bestimmten Bedingungen ersetzt PayPal betrogenen Verkäufern ihren Schaden („Verkäuferschutz“). Dazu müssen aber einige Regeln eingehalten werden; unter anderem muss der Versand der Ware an die bei PayPal hinterlegte Adresse erfolgt sein.
Fragt man die Trackingnummer einer Packstation-Sendung bei DHL ab, erscheint als Sendungsempfänger der echte Name des Packstation-Inhabers. Dieser weicht natürlich vom Inhaber des PayPal-Accounts und damit dem Adressaten des Pakets ab. Der Verkäufer erfüllt also - ohne es zu wissen oder darauf Einfluß nehmen zu können - die Bedingungen des PayPal-Verkäuferschutzes nicht und muss seinen Schaden alleine tragen.
Packstation-Phishing
Mit Prämien-Versprechen per E-Mail wurden Ende 2007 Packstation-Kunden verleitet, ihre Daten auf einer Phishing-Seite einzugeben.
Die DHL erklärt in ihren Sicherheitshinweisen, wie eine gefälschte Internet-Seite von der echten DHL-Seite zu unterscheiden ist, auf der man mit Eingabe des Passworts die Daten ändern kann und warnt: »Beachten Sie, dass DHL Sie niemals per eMail auffordern wird, Ihre PostPIN im Internet einzugeben.«
Eine auffällige Zunahme von Inseraten mit Titeln wie »suche Packstation« oder »Packstation gesucht« lässt befürchten, dass sich immer wieder Jobsucher auf solch dubiose Angebote einlassen, ohne vorher die Sicherheitshinweise der DHL zu lesen:
»Sie sind als angemeldeter Kunde verpflichtet dafür zu sorgen, Passwort und PostPIN geheim zu halten. Aus Sicherheitsgründen können nur Sie Ihre Sendungen am Automaten abholen. Die Goldcard ist daher nicht übertragbar (analog EC-Karte oder GeldKarte).«
DHL vergleicht die »
Goldcard« der Packstation mit einer EC-Karte. In dieser Analogie ist die DHL-Praxis, nach der zur Abholung einer Sendung Kundennummer und PostPIN ausreichen, in etwa mit einer Abhebung von einem Konto vergleichbar, bei der man lediglich Kontonummer und PIN kennen muß, statt im Besitz der EC-Karte zu sein. Wäre der Zugang zu Packstationen nur mit »
Goldcard« möglich, würden alle Versuche, arglosen DHL-Kunden ihre Zugangsdaten durch Phishing zu entwenden, automatisch ins Leere laufen.
Auch bei der Zustellung an einen nicht zur „PostNummer“ passenden Empfänger besteht dringender Handlungsbedarf.
- Verkaufen oder verleihen Sie unter keinen Umständen Ihre Packstation-Zugangsdaten!
- Liefern Sie als Verkäufer nicht an Packstationen, ohne sich vorher davon zu überzeugen, dass Käufer, Zahler und Sendungsempfänger dieselbe Person sind!
- Nehmen Sie keine rückbuchbaren und damit unsicheren Zahlungsmethoden wie z.B. Kreditkarte, Lastschrift, Scheck, PayPal an - insbesondere nicht, wenn Sie an eine Packstation liefern sollen!