Du bist nicht mit dem Internet verbunden.
Corporate logo
SecurityNews & Trends 3188

Betrüger-Alarm: digitec verkauft kein Galaxy S9 für einen Euro

Das Samsung Galaxy S9 für einen Euro. Von digitec. Klingt verlockend, wenn auch etwas seltsam für ein in Franken handelndes Unternehmen. Hinter dem Angebot und der ganzen Website stecken Betrüger. Ich nehme die Verfolgung auf.

Digitec habe einen Rechtsstreit mit Samsung verloren und müsse deshalb die Restbestände des Samsung Galaxy S9 ohne Marge verkaufen. Dann beläuft sich der Preis des S9 laut Website auf einen Euro.

Betrug.

Oder ein Versuch, die Schweizerinnen und Schweizer zu betrügen. Die Website sieht täuschend echt aus, aber die Site, die auf den ersten Blick nach Blick aussieht ist ein Fake. Genau wie die Story auf der Seite. Den Rechtsstreit mit Samsung gibt es nicht, das Interview mit Florian Teuteberg, CEO der Digitec Galaxus AG, auch nicht.

In Zusammenarbeit mit der Digitalredaktion von Blick habe ich mich auf Spurensuche begeben.

Analyse des Betrugs

Das Ziel des Fake-Blick ist es, dich auf eine andere Seite zu locken. Dort spricht die Site dann auf einmal von einem Gewinnspiel.

Bei der Betrügerwebsite handelt es sich um einen recht klassischen, wenn auch ziemlich kreativen Fall von Phishing. Beim Phishing wird versucht, Nutzer davon zu überzeugen, dass sie bestimmte Daten bekannt geben. Denn wenn du auf dem Blick-Fake auf den Link zur offiziellen Kampagnenseite klickst, dann wirst du nach deinen Kreditkartendaten gefragt.

Zahlungsinformationen für ein Gewinnspiel? Seltsam? Nicht, wenn es nach den Phishern geht. Denn dafür haben sie bereits eine Erklärung parat.

Wenn Sie diesen Service nutzen, genießen Sie eine 5-tägige Testversion unseres Partnerprogramms. Wenn Sie nach Ablauf der fünftägigen Testphase mit einem Abonnement fortfahren, wird Ihnen eine Gebühr in Rechnung gestellt Betrag auf Ihrer Kreditkarte, die je nach Wahl von 19 bis 19 variiert neunzig Euro. Wenn der Beitrag von Ihrer Kreditkarte oder einem anderen Konto abgezogen wird Zahlungsmethode erhalten Sie Zugang zu diesen exklusiv reservierten Diensten an Mitglieder, die für den Zugang auf unserer Partner-Website bezahlen.
Samsung Scam Site

Sprich: Du gibst den Betrügern das Okay, deine Kreditkarte mit irgendwelchen Beträgen zu belasten. Gegenleistung? Nichts.

Also klick nicht auf die Links, die im weiteren Verlauf dieses Artikels kommen. Ich kann nicht garantieren, dass du da sicher bist oder dass die Gefahr gebannt ist.

Wie du einen Hack baust

Eine solche Seite aus dem Boden zu stampfen ist einfach. Ich mach das mal schnell nach.

Zutaten:

  1. Name der grössten Zeitung der Schweiz → Google «Biggest Newspaper Switzerland»
  2. Name des grössten Online Shops der Schweiz → Google «Biggest Online Shop Switzerland»
  3. Name des CEO
  4. URL der meistbesuchten offensichtlichen News Site der Schweiz → Alexa Rankings Schweiz
  5. Etwas HTML-Kenntnisse
  6. Etwas CSS-Kenntnisse

Dann etwas Zeit.

Bei entsprechender Erfahrung geht das Aufsetzen einer solchen Site höchstens eine Stunde. Hosting kostet etwa 50 Franken, eine Domain noch weitere 20. Also kannst du für 70 Franken einen solchen Scam aufsetzen. Dann musst du den Link zu deiner Fake-Seite entweder per Mail oder per Social Media verbreiten und warten.

Social Media: Das grosse Problem

Bei der Verbreitung von unwahren Inhalten, seien das Satire wie die der Fake-Zeitung TheOnion oder Scams wie der mit dem Samsung Galaxy S9, verlassen sich auf die Unachtsamkeit des Nutzers. Frontseiten von Zeitungen und dergleichen werden immer weniger interessant aus genau diesem Grund. Links zu interessanten Artikeln werden direkt verbreitet. Denn der psychologische Mechanismus funktioniert so: Wenn einer deiner Freunde den Link teilt, dann ist er automatisch vertrauenswürdiger, denn es wäre so, als ob der Mensch dir das direkt gesagt hat. Du gehst also schon mit viel Goodwill dem Link gegenüber zum Klickvorgang über. Denn dein Kumpel würde dich nicht verarschen, oder?

So kommt es immer mal wieder vor, dass deine Mutter die neueste Schockmeldung verbreitet, die offensichtlich falsch ist. Aber vielleicht klingt ein S9 für einen Euro doch recht gut, oder?

Wer steckt hinter der falschen Site?

Der oder die Phisher – ich werde ab nun von einem Einzeltäter ausgehen, auch wenn ich nur wenige Anhaltspunkte auf einen Einzeltäter habe – macht Fehler. Diese lassen auf seine Identität schliessen.

Ich gehe von folgendem aus:

  • Er ist kein Schweizer: Der Phisher spricht stets von Euro. Jemand, der in der Schweiz lebt oder schon einmal hier gewesen ist, weiss, dass wir in Franken bezahlen.
  • Er spricht deutsches Deutsch: In seinen Schreiben verwendet der Phisher das Esszett (ß). Tun wir Schweizer aber nicht.
  • Sein Deutsch ist nicht besonders gut: Dann und wann wieder hat er offensichtliche Google Translate Errors drin.

Ignorieren und weitersurfen? Das wäre wohl das Vernünftigste. Für mich aber sind solche Sites ein gefundenes Fressen. Denn ich jage solche Leute extrem gerne. Warum die Schweizer Melde- und Analysestelle Informationssicherung (MELANI) nicht öffentlicher macht, verstehe ich auch nicht. Sie machen das garantiert auch, wenn da eine Klage kommt. Die kommt übrigens. Sowohl Blick Legal wie auch digitec Legal sind am Fall dran.

So. Jetzt kommen die Links. Klick auf keine davon. Das ist nicht zwingend sicher.

Die URL, die mir zugespielt wurde, heisst 20mi.ch. Offensichtlich hofft der Scammer darauf, dass sich Leute vertippen, wenn sie zur Website der Gratiszeitung 20min.ch gelangen wollen. 20mi.ch ist aber nur eine Forwarding URL, das heisst, dass du von da direkt weitergeleitet wirst. Du bist eigentlich auf ch-nachrichten.com. Von da geht's dann weiter zum Fake-Samsung-Wettbewerb auf goldenppubs.com.

Jede URL, die du im Netz aufrufen kannst, ist irgendwo registriert. Diese Registration ist öffentlich, wenn du nicht besonders festlegst, dass du deine Daten geheimhalten willst. Jeder kann irgendeine Domain kaufen. Das heisst, dass der Hintermann oder die Hintermänner hinter 20mi.ch nicht zwingend in der Schweiz sitzen müssen.

goldenppubs.com – die grosse Unbekannte

Eine Site in der Liste wirft Fragen auf. Das ist Goldenppubs.com. Goldenppubs scheint keinerlei Einträge in irgendwelchen Whois-Listen zu haben. Nicht, dass mir die Whois-Datenbanken auswerfen, dass die Domain privatsphärengeschützt ist, sondern da kommt eine Variation von «Kein Eintrag vorhanden».

ch-nachrichten.com – Die Geschützte

Der Fake-Blick-Artikel liegt auf ch-nachrichten.com. Die Spur verliert sich auch da recht schnell, denn die Hostingdaten werfen eine Privatsphärenschutzfirma aus:

  • Admin Name: Domain Admin
  • Admin Organization: Whois Privacy Corp.
  • Admin Street: Ocean Centre, Montagu Foreshore, East Bay Street
  • Admin City: Nassau

Ich bezweifle, dass der Phisher in Nassau ist. Das ist mehr so Ostblock-Style. China wäre platter, Afrika weniger Deutsch und mehr E-Mail. Das sind zwar grobe Verallgemeinerungen und stimmen dann und wann wieder nicht, aber irgendwas sagt mir «Ostblock».

20mi.ch – Ein Name

Besser sieht es bei 20mi.ch aus. Die selbe Abfrage wie oben gibt mir eine Adresse. Hier ein Einschub: Bis die Schuld dieser Person bewiesen ist, gilt die Unschuldsvermutung. Alles, was diese Person eventuell getan hat, ist eine URL zu kaufen. Das ist nicht illegal.

  • Holder: marko nikolic
  • Vojislava Ilica 87
  • RS-11000 Belgrade
  • Serbia

Belgrad? Damit können wir arbeiten.

Die Spur führt nach Belgrad

«Marko Nikolic? Das ist ein recht geläufiger Name», heisst es aus dem Produktmanagment. Der Nachname der Brünetten endet auf -ic und auf ihrem Pult liegt ein Fanschal von Partizan Belgrad. Es ist Zufall, dass der ehemalige Manager ihres Lieblingsclubs ebenfalls Marko Nikolic heisst. «Stell dir so den Thomas Müller vor. Jeder kennt einen. Das ist Marko Nikolic.»

Dennoch: Sie kennt Leute in Belgrad. Sie lässt ihre Kontakte spielen.

«Mach dir keine Hoffnungen», fügt sie mit einem Seufzen an, «Adressen sind da so eine Sache.»

Denn in Serbien sei es so, dass oft Menschen an Adressen gemeldet sind, an denen sie gar nicht leben. Das habe «irgendwas mit Steuern und vielleicht dem Mietrecht» zu tun.

Hier verliert sich die Spur. Denn selbst wenn an der Vojislava Ilica 87 ein Marko Nikolic wohnt, können wir nicht mit abschliessender Sicherheit sagen, dass es sich um den Marko Nikolic handelt, der die Domain gekauft hat. Und selbst wenn es sich beim Marko Nikolic an der Vojislava Ilica 87 um den Käufer der Domain handelt, können wir nicht mit abschliessender Sicherheit sagen, dass er mit den Phishern gemeinsame Sache macht. Oder eines Verbrechens schuldig ist.

Frankreich: Die Finanzen der Phisher erklärt

Ein SMS aus der Blick-Redaktion erreicht mich. Eine weitere URL poppt auf: blickk.ch. Auch sie geht nach ch-nachrichten.com mit demselben Fake-Angebot. Die Domain ist auf Clovis Guertin registriert, wohnhaft im französischen Lille.

Mir wird klar, wie der oder die Phisher ihre Operation finanzieren.

Mist.

Die Kriminellen haben sich für wenig Geld eine Liste mit gültigen Kreditkartendaten aus dem Internet oder dem Darknet gezogen und verwenden diese nun, um Domains und Webspace zu kaufen. Denn 20 Franken hier und 13 Franken da fallen auf einer Kreditkartenabrechnung nicht zwingend auf.

Einmal geklaut können Betrüger so jahrelang kleine Beträge von deiner Kreditkarte abbuchen, ohne, dass du es merkst. Du merkst dann erst die Tissot Bridgeport für 2 265 Franken. Das lohnt sich nicht. Das macht ein Krimineller einmal, dann machst du ein Riesenfass auf, Anzeige, Polizei, Strafverfolgung und die schöne Tissot-Uhr muss irgendwo hingeliefert werden, wenn ein Krimineller diese will. Eine Abo-Falle hingegen ist elegant. 20 Euro pro Monat sind subtil genug, dass sie unter dem Radar fliegen können. Bei einem Lockvogelangebot wie einem Samsung Galaxy für einen Euro fallen vielleicht 100 Personen rein. Das sind 20×100 Euro, also 2000 Euro im Monat.

Das <strong>Darknet</strong>: Ein wichtiges Instrument für die Freiheit
Hintergrund

Das Darknet: Ein wichtiges Instrument für die Freiheit

Auch wenn die Betrüger nicht an der Adresse in Belgrad sitzen, so werde ich das Ostblock-Gefühl nicht los. Angenommen, das waren die Russen. Dann beträgt der monatliche Durchschnittslohn 469 Euro. Da braucht ein Krimineller nur 25 Menschen, die auf ihn reinfallen und er kann gut leben. Bei 100 Genarrten ist ein Krimineller schon ziemlich verdammt gut dran. Der Aufwand für die Masche liegt, inklusive Adressliste, bei höchstens 150 Euro und etwas Zeit. Das lohnt sich.

Hier endet die Jagd nach den Betrügern. Klar, ich könnte dem weiter nachgehen, aber ich informiere dich lieber über die Masche als ewig Betrüger zu jagen. Denn hier wird es schwierig. Ich könnte Stunden investieren, Tricks aus der Information Security anwenden, Kollegen fragen, und so weiter. Aber die Chance, dass am Ende jemandem Handschellen angelegt werden, ist verschwindend klein. Denn wenn der Kriminelle Tor Browser verwendet, dann ist die Suche allerspätestens an seiner Exit Node fertig. Am Ende bleibt nur eines zu sagen: Seid vorsichtig, seid misstrauisch und fragt lieber einmal zu viel nach.

Unsere Customer Service Hotline findest du von Montag bis Freitag zwischen 9 und 18 Uhr unter digitec@digitec.ch oder unter +41445759500.

So. Fertig. Stay safe. Und Samsung Phones für einen Euro? So ein Quatsch.

Update 12.02.2019 // 12:50 Uhr

Lorenz Keller, der Journalist, dessen Name auf der Scammer-Seite als Autor genannt wird, hat auf Blick.ch einen Artikel zum selben Thema veröffentlicht.

User

Dominik Bärlocher, Zürich

  • Senior Editor
Journalist. Autor. Hacker. Ich bin Geschichtenerzähler und suche Grenzen, Geheimnisse und Tabus. Ich dokumentiere die Welt, schwarz auf weiss. Nicht, weil ich kann, sondern weil ich nicht anders kann.

31 Kommentare

3000 / 3000 Zeichen
Es gelten die Community-Bedingungen.

User daccurda

Wieso haben Hacker auf Stock-Photos, Comics, in Actionfilmen etc etc immer einen Kapuzenpulli?

12.02.2019
User Joel_Gut93

Das macht sie im Internet unsichtbar. Der Bildschirm kann so das Gesicht nicht sehen. Sie sind auch verdammt gemütlich.

12.02.2019
User Aurel Stevens

Mehr zum Thema: der-postillon.com/2012/01/u...

12.02.2019
User daccurda

Wird das hier meine Hackerskills verbessern? Jack&Jones Brent (M)

12.02.2019
User Anonymous

Das wurde ab 1995 durch den Film "Hackers" stereotypisiert. In den 80ern waren es Lederjacken und Stiefeln mit Nieten.

12.02.2019
User Dezphere

nein in so einem Serverraum zieht es häufig wegen der AC...

13.02.2019
Antworten
User SchmittTech

Dieser Beitrag war beinahe genauso spannend wie die Harry-Potter Bücher :D
Ich hoffe es sind nicht zu viele Leute hierdrauf reingefallen.. Der Aufwand danach tut mir immer Leid

12.02.2019
User flapsch20

Dieses Angebot hatte ich bereits vor ca. 6 Monaten mit Bluewin und Digitec. Interessant, dass nun Blick dran ist. Guter Artikel #gefälltmir

13.02.2019
User Anonymous

Ich bezweifle die Einzeltäter Theorie etwas. Das ganze schien gut koordiniert, denn zeitgleich gab es für Sunrise Mobil Kunden zuerst eine unverfängliche Benutzerumfrage mit Hinweis dass man als Belohnung ein Galaxy S9 erhalte, welche einem nach Abschluss der Umfrage auf die besagte Phishing Seite leitete. Leider hab ich die URL der Umfrageseite nicht mehr.

12.02.2019
User Dominik Bärlocher

Kann auch gut sein, dass der Einzeltäter seine Kampagne breit gefahren ist. Ob ich jetzt vier Wochen lang jedes Wochenende eine Seite fake und erst dann meine Kampagne starte... macht jetzt auch nicht so den Unterschied. Im Gegenteil, erhöht meine Chancen auf Erfolg eher noch. Würde ich jetzt sagen.

12.02.2019
User Anonymous

Hat was. Und wenn das so angelegt war, werden vermutlich paar mehr als 100 reingefallen sein...

12.02.2019
Antworten
User SouperFalcon

was für husos

12.02.2019
User Arturion2006

Dominik, Du solltest ein Buch mit Kurzgeschichten aus dem Digitec-Alltag schreiben. Wäre mit an Sicherheit grenzender Wahrscheinlichkeit ein Bestseller - ich würde es auf jeden Fall kaufen!

13.02.2019
User Dominik Bärlocher

Ach was, so spannend ist das gar nicht. Manchmal gibt das eine gute Story her. Aber die kannst du dann direkt hier lesen. Dafür schreib ich das ja alles auf. So "Abenteuer Mittagspause: Das sensationelle Sandwich aus dem Coop" ist jetzt weniger spannend. :)

13.02.2019
Antworten
User martin.hopf

...interessant finde ich auch, dass die "9" im Screenhot des Schriftzuges "Galaxy S9" schon ziemlich händisch reingepixelt worden ist. Bereits das müsste ein erster kleiner Indikator sein, dass das was schief ist. Vom include Ladegerät mal abgesehen :-)

13.02.2019
User lfshaker

Danke :-) Digitec. Es ist immer wieder amüsant zu lesen, mit welchem Hochmut und ausdrucksvoller Selbstsicherheit Herr Bärlocher als selbsternannter "Hacker" auf einer Shopping-Website die Nichtkundigen mit seinem Halbwissen zu beeindrucken versucht.
Nur so am Rande erwähnt lieber Dominik, mit reinem HTML ist es noch lange nicht getan. Die übermittelten Userdaten müssen serverseitig noch verarbeitet werden... Und um sie nur auf das Filesystem abzulegen, braucht es zumindest Kenntnisse einer interpreter-basierten Scriptsprache sowie deren Laufzeitumgebung.

Trotzdem danke für den Artikel, die Texte sind immer wieder anregend...

12.02.2019
User Anonymous

verarbeitung der daten ist ein paar zeilen code kopieren und einige parameter anpassen. eventuell findet man sogar schon eine komplett passende vorlage online. um eine db aufsetzen findet man ebenfalls ausreichend vorlagen. selbst für jemand unerfahrenen (technisch nicht komplett ab vom schuss), ist das in 20-30 stunden machbar.

12.02.2019
Antworten
User JTR.ch

Wer solchen Mist glaubt, hat es verdient ausgenommen zu werden. Von etwas müssen die Kriminellen ja auch leben. Und wenn vor lauter sabbernden Geiz das Hirn Denkpause macht, ja vielleicht lernt man etwas daraus. Im Leben gibts nicht umsonst, weder eine Lektion noch der Tod.

12.02.2019
User Dominik Bärlocher

Ich finde es ja immer heikel, Victim Blaming zu betreiben.

13.02.2019
Antworten
User Anonymous

Srbija!

13.02.2019
User ExcaliburCH

Ich wusste gar nicht, dass man eine Domain mit einer URL gleichsetzt. Ich dachte bis jetzt, dass die URL aus einem Domainnamen und URI besteht. Und schon wieder etwas dazugelernt.

12.02.2019
User Anonymous

Domain ist nicht automatisch gleichgesetzt mit der URL. URL wird als Internet- oder Webadresse bezeichnet. Wenn du im Browser die URL digitec.ch eingibst, ist es "zufällig" mit der Domäne gleichgesetzt. Wenn du aber digitec.ch/de/s1/tag/audio-591 eingibst wurde die URL erweitert ( wobei das nach RFCs und W3C-Spezifikationen auch nicht richtig ist. Eigentlich _ist_ das URI)..

URL beschreibt die ganze Adresse inklusive Protokoll: digitec.ch/de/s1/tag/audio-...

14.02.2019
User ExcaliburCH

Das wollte ich damit eigentlich zum Ausdruck bringen. Es mag sein, dass es Dienste gibt, welche Geld für eine URL verlangen aber im Artikel wird defintiv von einer Domain gesprochen und das ist nunmal nicht das Gleiche ;) Aber danke für Deine Erklärung.

14.02.2019
Antworten
User Anonymous

Solchen scam gibt es nicht nur auf gefälschten Blick-Seiten, sondern auch auf Digitec selber!
Drucker von Zebra günstig gekauft. Ewig auf Lieferung gewartet. Dann einen komplett anderen Artikel erhalten.
Auf Nachfrage beim Support hiess es, ich würde den richtigen Artikel schnellstmöglich erhalten. Wieder ewig gewartet.
Resultat der Aktion: Digitec passt nachträglich die komplette Produktseite an, listet unter der gleichen Artikelnummer nun einen anderen Artikel und passt sogar meine Rechnung nachträglich an, sodass dort nun der gelieferte Artikel steht! Mit Verweis auf die AGB wurde die Bestellung jetzt komplett storniert.
Nun fehlen lediglich die regelmässigen Abbuchungen auf meiner Kreditkarte zum vollendeten Betrug :P

13.02.2019
User AAnonymous

Und P*rnhub hat mehr Aufrufe als digitec...

12.02.2019
User Dominik Bärlocher

Du, imfall, das heisst Pornhub. Mit O.

12.02.2019
User zingarro96

Touché😉

12.02.2019
User AAnonymous

Du, imfall, dachte das ist eine jugendfreundliche Seite ;)

12.02.2019
User schLEIMER

Sie hatten ein Set mit einem VR Brille und einer Fleshlite.
try again with "jugendfreundlich" (nicht dass mich das stört, das war eine "geile" Aktion!)

12.02.2019
User superburschi

Du - nein besser IHR - das heisst "im Fall".
Somit Pornhub und im Fall! ;-)

12.02.2019
Antworten