Bedrohungslage

Fake Shops: Das Geschäft mit abgelaufenen Domains

14. April 2020 von PSW GROUP Redaktion
fake-shops
© Mymemo - Adobe Stock

5
(2)

Durch die Corona-Pandemie sind die Innenstädte dicht, Online-Shops feiern Hochkonjunktur. Das ruft auch Betrüger auf den Plan. Wie die Kölner Digitalberatung wdp im Rahmen einer Studie herausgefunden hat, ist die Gefahr sogenannter Fake Shops größer als bisher angenommen: Das Unternehmen konnte mehr als 16.000 mutmaßliche Fake Shops identifizieren. Darunter befanden sich ausschließlich Domains mit .de-Endung. Früher gehörten die Seiten mal Vereinen, Parteien, Unternehmen oder sonstigen Marken. Heute fristen die Sites ein Dasein als Fake Shop: Die Betrüger generieren Bestellungen, die sie wahlweise mit minderwertiger Ware oder auch gar nicht erfüllen. Während die Betrüger so tausende von Euro verdienen, gehen ihnen immer mehr Verbraucher auf den Leim.

wdp-Analyse deckt Ausmaß von Fake Shops mit .de-Endung auf

Mit dem Bericht zur Studie „Fake-Shops – der systematische Betrug mit abgelaufenen .de-Domains“ (PDF) gelang es wdp, eine sehr häufige Masche der Cyberkriminellen aufzudecken: auslaufende Domains werden von den Betrügern übernommen, um die Bekanntheit dieser Seiten für eigene betrügerische Zwecke zu nutzen. Hier entstehen Fake-Shops, über die dann reale Bestellungen generiert werden.

Während die Cyberkriminellen so mehrere tausende Euro verdienen, müssen die Opfer in aller Regel sowohl ihr investiertes Geld als auch die Bestellung abschreiben. Aber nicht nur das: Während des Kaufprozesses werden nicht selten sensible Daten wie etwa Zahlungsdaten ausspioniert.

Expired Domains leben wieder auf

Als Expired Domains bezeichnet man jene Domains, die entweder kurzfristig oder schon vollständig bei der Registrierungsstelle gelöscht worden sind. Betrüger behalten Domains dieser Art im Blick – neben Domains von Parteien sowie Politikern auf Stadt- oder Kreisebene trifft es immer wieder die abgelaufenen Domains von Unternehmen, Verbänden oder Vereinen. Dann finden sich auf der Website keine Informationen mehr, wie man sie erwarten würde, sondern Shops, die ihre Produkte zu unglaublich günstigen Konditionen feilbieten.

Die Verbraucherschutzzentrale bietet auf ihrer Website eine Übersicht von Seiten, die unter Fake Shop-Verdacht stehen. Sich daran zu orientieren, ist natürlich hilfreich, dass jedoch nicht jeder neu entdeckte Fake Shop sofort einen Platz in der Liste erhalten kann, versteht sich auch. Die Liste erhebt also keinen Anspruch auf Vollständigkeit. Eigene Funde oder Verdächtigkeiten können der Verbraucherzentrale in den Kommentaren am Ende des Beitrags gemeldet werden.

Fake Shops: Betrug mit System

Sie sehen: Es gibt unzählige Seiten, die einmal einen Sinn hatten, später abliefen und nun Betrügern als Fake Shops dienen. Die Verbraucherzentrale listet etliche auf, in ihrer Studie stieß wdp über 16.000 mögliche Fake Shops dieser Art. Es ist recht wahrscheinlich, dass nicht etwa viele Einzelpersonen hinter dieser Masche stecken, sondern wenige Betrüger, die systematisch an die Sache herangehen. Man darf den Verdacht äußern, dass es sich um professionell agierende Netzwerke handeln könnte.

Zu diesem Schluss kamen auch Christoph Nichau, Mitbegründer und geschäftsführender Partner von wdp, zusammen mit seinen Kollegen. In ihren Analysen gelang es der Digitalagentur wdp, neben populären Shopsystemen wie Magento, Shopify oder Shopware auch Systeme wie Zen Cart, osCommerce sowie OpenCart zu identifizieren. Schnell stellten die Analysten verschiedene Parallelen fest: „Diese Domains fielen durch eine unseriöse Aufmachung von Markenprodukten mit sehr hohen Rabatten auf – augenscheinlich auf Schnäppchenjäger und ihre Kreditkartendaten ausgerichtet“, spezifiziert Nichau.

Um seine Vermutung, dass hinter den Fake-Shops keine Einzeltäter, sondern professionell agierende Netzwerke stecken, zu stützen, erstellte das Analysten-Team mithilfe von builtwith.com eine Übersicht sämtlicher .de-Domains, die entweder Zen Cart oder osCommerce oder OpenCart nutzten. Rund 200 Domains dienten im Rahmen einer Machine Learning-Analyse als Trainingsdaten. Am Ende kam das Team mithilfe dieser Technologien auf 16.683 Domains, bei denen mit sehr hoher Wahrscheinlichkeit nach dem Auslaufen und Besitzerwechsel der jeweiligen Domain ein Fake Shop aufgesetzt wurde.

Das Fazit der Studie: Es ist ein lohnendes Geschäft für die Betrüger, systematisch nach abgelaufenen Domains von seriösen Organisationen zu suchen, diese Seite beim zuständigen Anbieter zu erwerben und anschließend eine Seite zu bauen, die wie ein normaler Online-Shop aussieht.

Profi-Fake-Shop oder 08/15-Seite?

Betrüger, die durch Fake Shops im Internet Geld verdienen wollen, werden immer besser: Häufig ist ein solcher Fake Shop auf den ersten Blick nicht von einem seriösen zu unterscheiden. Die Websites sind modern gestaltet, viele Produktfotos machen Lust auf Shopping, Navigation und alles weitere scheinen normal zu sein. Cyberkriminelle stecken viel Aufwand in Seiten, die existierenden und seriösen Firmenseiten täuschend ähnlich sein sollen. Daher gilt grundsätzlich: Entdecken Sie ein günstiges Schnäppchen bei einem Ihnen unbekannten Händler, seien Sie kritisch! Weiter unten geben wir Tipps, um sich zu schützen. Auch Preissuchmaschinen sind eine sinnvolle Shopping-Hilfe: Sie bieten einen guten Überblick über aktuelle Marktpreise, sodass Sie erkennen können, wann Ihre Skepsis angebracht ist.

Beispiele gekaperter Domains

Der Ortsverband der FDP in Gaggenau reservierte vor geraumer Zeit eine entsprechende Domain. In Eigenregie registriert, wollte man sie nutzen, um Informationen zur Partei und die Kommunalwahl bereitzustellen. Die Website sollte erst entstehen und zwar in Zusammenarbeit mit der FDP Rastatt. Als sich keiner mehr so wirklich für die Domain interessierte, wurde sie von Unbekannten gekapert. Ein Online-Shop für Kleidung entstand, offenbar in betrügerischer Absicht. Mittlerweile hat sich die FDP Gaggenau gegen die Domain entschieden, die Domain wurde nun vom Netz genommen.

Auch die FDP im schleswig-holsteinischen Mölln erwischte es. Wer einen Blick auf die Internetseite warf, musste wohl davon ausgehen, dass die Partei jetzt Sneaker verkauft: Wieder hatten Unbekannte die Site gekapert und einen Shop draus gemacht. Auch diese Seite wurde vom Netz genommen.

Politisch Interessierte, die der CDU Seckbach-Seite einen Besuch abstatten möchten, können Trikots erwerben, alles für den Nachwuchs findet sich hingegen auf dem Internetauftritt der Grünen in Zwickau. Unsere Beispiele drehten sich alle um politische Parteien, jedoch sind auch ausgediente Websites von Unternehmen, Vereinen oder Verbänden betroffen.

 

Verbraucher fordern aktives Vorgehen von der DENIC

Man kommt kaum umhin, sich zu fragen, wie so etwas passieren kann: Hierzulande ist die DENIC eG für die Vergabe von .de-Domains verantwortlich. Sie müsste jede neue Anmeldung prüfen – anhand eigens entwickelter und festgelegter Richtlinien. Christoph Nichau von wdp dazu: „Die Lösung des Problems wäre einfach: Die DENIC müsste nur ihre eigenen Richtlinien zur Registrierung von Domains konsequent umsetzen“. Die Verantwortlichen jedoch werden dieser Pflicht nicht bzw. nicht ausreichend gerecht. Weder werden die Ursachen dieser Betrugsproblematik angegangen noch den Betrugsopfern Hilfe angeboten.

DENIC selbst sieht die eigene Rolle etwas anders und erklärt auf der Website unter den Informationen zu Fake-Shops: „Online-Shops vertreiben ihre Waren über Webseiten und deren Inhalte. DENIC registriert dagegen lediglich Domains, d. h. Namen, die auf Rechner verweisen. Anders ausgedrückt, stellt DENIC einen Dienst bereit, der einen einprägsamen Namen, den Menschen sich leicht merken können, einer Adresse zuordnet, über die Rechner im Internet miteinander kommunizieren (IP-Adresse). Diesen Dienst erbringt DENIC ausschließlich für Domains mit der Endung .de. Einen Zugriff auf die Inhalte von Webseiten, auf die eine Domain verweist, hat DENIC nicht. Deshalb kann DENIC auch nicht gegen Fake Shops vorgehen oder die Inhalte einer Fake-Shop-Seite löschen.“

Seit Inkrafttreten der DSGVO kommen datenschutzrechtliche Schwierigkeiten hinzu: Informationen über .de-Domain-Inhaber können nicht mehr eingesehen werden. Die Verbraucherschutzminister forderten in der Folge einen Identitätsnachweis bereits bei der Registrierung einer Domain. Bisher ist ein solcher Nachweis nicht erforderlich. Die DENIC äußert Bedenken zu diesem Vorschlag: Zu hoch sei der administrative Aufwand, der auf Websitebetreiber sowie auf die DENIC hinzukäme, außerdem würde auch eine solche Lösung Lücken aufweisen, etwa Identitätsdiebstahl. Sinnvoller wäre für Online-Shops der verpflichtende Einsatz von EV-Zertifikaten, also SSL-Zertifikaten mit deutlich strengeren Vergaberichtlinien.

 

Fake Shop erkennen: So erkennen Sie Fake Shops

Vorbeugen ist besser als nachsorgen – das trifft auch aufs Online-Shopping zu. Deshalb fassen wir für Sie im Folgenden zusammen, wie Sie Fake-Shops leichter erkennen. Einige unserer Tipps kennen Sie vielleicht schon aus unserem Beitrag „Fake-Seiten erkennen: Millionen Betrugs-Domains“.

Anzeichen betrügerischer Shops

Mit folgenden Kriterien und Anzeichen können Sie Fake Shops erkennen:

Auffälligkeiten in der URL

Sie möchten online shoppen, doch irgendwas ist komisch an der Domain: Sie entdecken Ungereimtheiten an eigentlich bekannten Domains, beispielsweise eine weitere Domainendung wie www.beispiel.de.com, wo eigentlich www.beispiel.de stehen sollte. Oder Sie steuern einen Ihnen bis dato unbekannten Shop an, aber irgendwie passen Domainname und Inhalt so gar nicht zusammen – ähnlich wie in unseren oben genannten Beispielen: Wenn FPD, CDU und der örtliche Tierschutzverein plötzlich Sneaker, Rolex oder Babynahrung anbieten, dürfen Sie skeptisch sein.

Mit der Website archive.org haben Sie noch ein schönes Testtool an der Hand: Geben Sie den Webshop ein, zu dem Sie Informationen suchen. Sie erfahren, wie lange es den Shop gibt und welche Inhalte sich zu früheren Zeiten auf der Website befunden haben. Geben Sie den Namen der URL sowie das Wort „Erfahrungen“ in die Suchmaschine Ihres Vertrauens, können Sie zudem Nutzerbewertungen zum Shop finden.

Viel zu günstig

Nicht immer fallen Fake Shops durch viel zu billige Ramschpreise auf – immer häufiger gehen die Betrüger dazu über, die Preise realistischer zu gestalten. Dennoch gilt: Wenn ein Preis eigentlich zu gut ist um wahr zu sein, dann stimmt Ihr Impuls wahrscheinlich auch. Nehmen Sie unseren oben erwähnten Tipp mit den Preissuchmaschinen ernst. Prüfen Sie, wie die Marktpreise zu der Ware aussehen, um einschätzen zu können, ob Sie kurz vor einem echt guten Schnäppchen oder vor einem Betrugsfall stehen.

Übrigens: Früher waren Fake Shops schon am dilettantischen Erscheinungsbild direkt zu erkennen. Auch Cyberkriminelle lernen jedoch dazu: Sehr häufig sehen Fake-Shops heute täuschend echt aus und können rein optisch problemlos mit ihren seriösen Pendants mithalten.

Zahlungsmöglichkeiten

Bestellen Sie erstmalig in dem Shop, gehen Sie mit einem Kauf auf Rechnung auf Nummer sicher – Sie zahlen die Ware erst nach Lieferung. Jedoch haben viele Händler, auch viele seriöse, schlechte Erfahrungen machen müssen, sodass der Kauf auf Rechnung in vielen Online-Shops nicht mehr angeboten wird. Seriöse Shops bieten die Zahlung per Lastschrift oder über Dienste wie PayPal. Das ist für Sie ebenso sicher: Im Falle eines Falls können Sie Ihr Geld zurückholen.

Verständlich, dass Sie solche Zahlungsmöglichkeiten in Fake-Shops eher nicht finden. Vorkasse, Direktüberweisung oder die Zahlung per Kreditkarte sind hier oft die einzigen Zahlungsmöglichkeiten. Bleiben Sie skeptisch, falls der Konto-Inhaber so gar nicht nach Firmenkonto klingen möchte oder wenn sich das Konto im Ausland befindet, die IBAN also mit anderen Buchstaben als DE beginnt. In aller Regel schicken Betrüger gar keine Ware los, zuweilen könnte jedoch ein Paket auch per Nachnahme ankommen. Jedoch ist nicht garantiert, dass sich darin auch die bestellte Ware befindet. Nutzen Sie idealerweise Shops, die Zahlungsmöglichkeiten anbieten, die auch Ihnen als Besteller ein sicheres Gefühl vermitteln.

Siegel kritisch betrachten

Zahlreiche Webshops werben mit vielen, vielen Siegeln, die dem Verbraucher ein sicheres Gefühl geben sollen. In der Tat gibt es seriöse Siegel, denen Sie gerne vertrauen dürfen: EHI, Trusted Shops oder auch s@fer-shopping haben strenge Kriterien, die Shops erfüllen müssen, um ein solches Siegel zu erhalten.

Auch Fake-Shops arbeiten durchaus mit solchen Siegeln. Sie fälschen echte Siegel oder denken sich eigene aus. Ob eine Website wirklich ein Siegel durch eine seriöse Organisation erhalten hat, können Sie auf den Websites der Siegel nachlesen. Häufig werden hier auch echte Kundenbewertungen über viele Händler zu finden sein.

Kundenbewertungen & -erfahrungen

Online-Shops geben auf ihren Websites natürlich vorrangig begeisterte Kundenstimmen wieder, deshalb lohnt es sich, sich nicht ausschließlich auf diese, direkt auf der Website aufgeführten Kundenbewertungen zu verlassen. Kundenbewertungen zu fälschen, ist nicht schwer. Horchen Sie also auf, wenn die Bewertungen allzu überschwänglich ausfallen – selbst der beste Händler erntet auch mal Kritik. Hilfreich ist es ohnehin, die Suchmaschine zum Shop zu befragen: So erhält man positive wie negative Meinungen, kann sich ein eigenes Bild machen und ist ein Shop bereits als Fake-Shop bekannt, erfährt man es in entsprechenden Foren.

Zusammengeschusterte AGB

Verbraucherschützer raten davon ab, in Online-Shops zu bestellen, die keine Allgemeinen Geschäftsbedingungen (AGB) zur Verfügung stellen. Wir raten darüber hinaus auch von jenen Shops ab, die ihre AGB frei erfunden oder zusammenkopiert haben. Schauen Sie nach AGB, die diesen Namen auch verdienen, weil sie wirklich den Verkauf und alle Konditionen erklären.

Impressum und Kontakt

Auf jede seriöse Website gehören ein Impressum, also Angaben über den Anbieter einschließlich Adresse und Handelsregister-Informationen, eine Datenschutzerklärung sowie die AGB bzw. ein Link zu ihnen. Existieren keine Kontaktmöglichkeiten oder gibt es nur eine E-Mail-Adresse bei Großanbietern wie GMX, Web.de oder Gmail, ist der Shop als verdächtig einzustufen. Stoßen Sie auf eine Telefonnummer, kann durch einen Testanruf die Richtigkeit dieser Angabe überprüft werden.

Gesunder Menschenverstand

Jeder Verbraucher kann und darf selbstverständlich auch beim Online-Shopping den gesunden Menschenverstand nutzen. Möchten Sie Babynahrung für Ihren Sprössling online bestellen, dürfte klar sein, dass der Internetauftritt der Grünen in Zwickau vielleicht nicht ganz der richtige Ansprechpartner ist. Kommt Ihnen ein Shop also einfach spanisch vor, hören Sie auf Ihr Gefühl! Benutzen Sie Ihren gesunden Menschenverstand beim Online-Shopping genauso selbstverständlich wie beim Shoppen in der Fußgängerzone.

 

Auf Fake Shop reingefallen – was nun?

Kommen unsere Tipps zu spät und Sie sind bereits auf einen Fake-Shop reingefallen, gilt es, mit Bedacht vorzugehen. Sie sollten bei der Polizei Anzeige erstatten. Bringen Sie dafür alles mit, was Sie in der Hand haben: Ein Screenshot der betrügerischen Website, Ihre Bestellbestätigung sowie weitere Korrespondenz mit dem Shop und Kontoinformationen. Nur wenn die Polizei ausreichend Informationen hat, können die Ermittler versuchen, den Betrügern das Handwerk zu legen.

Wie hat Ihnen dieser Artikel gefallen?

Average rating 5 / 5. Vote count: 2

0 Kommentar(e)

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu