[Info] Der Justin Bieber Scam

[BitAurum]

Hallo Leute,

Letztens hat mich ein Forummitglied kontaktiert, um abzugleichen, dass ein User (schwipp12) tatsächlich sauber und ehrlich ist. Dabei hat sich herausgestellt, dass die Banküberweisung auf unsere Konten von unterschiedlichen Leuten stattfanden. Da ich über meine Website im letzten Jahr ein paar Bitcoins verkauft habe (was im nächsten Jahr auch wieder anlaufen wird), habe ich mehrere schräge Überweisungen erhalten, die alle dasselbe Schema ausnutzen (aber glücklicherweise gut erkennbar sind). Inwiefern tatsächlich betrogen wurde lässt sich von unserem Ende aus nicht genau sagen, weil sich noch keiner beschwert hat, aber es definitiv nicht sauber. Es scheint sich jedoch immer um dieselbe Masche zu handeln.

Hier die Vorgehensweise: Der Scammer (unter Vorbehalt) öffnet ein Angebot auf ebay oder ähnlichen Seiten. Im konkreten Fall handelt es sich um http://www.auvito.de/2-tickets-justin-bieber-2013-golden-circle-tickets/artnr33451860/details.html.

Diese Tickets werden gekauft, wobei hier meine Bankverbindung zur Bezahlung angegeben wird.
Gleichzeitig wird eine Order aufgegeben bzw. ein Bitcoin-Verkäufer kontaktiert, mit dem Wunsch, genau für den Kaufbetrag Bitcoins haben zu wollen. Es werden hierbei die Daten des Ticket-Käufers und die Bitcoin-Adresse des Ticket-Verkäufers angegeben. Sobald das Geld auf meinem Konto ankommt, überweise ich die Bitcoins.

Erkennung: Die Masche hat bei mir genau einmal funktioniert, als ich noch nicht wusste, was gespielt wird, danach erkennt man immer ein paar Details da, die die genannte Vorgehensweise deutlich machen. Ein gutes Beispiel ist, dass im Überweisungsbetreff gerne einmal "Justin Bieber" oder "Lion King" oder ähnliches steht, welcher zeigt, was gekauft wurde. Die Email-Adressen stammen gerne von GMX oder ähnlich, die Leute sind schlampig bei der Erstellung von Benutzerkonten (Geboren 1944, Hamburg in Schleswig-Holstein) etc. etc.

Prävention: Was auch eine gute Methode sein kann, um dergestalt Vorgänge zu vermeiden, ist die Vorgabe von dem zu überweisenden Betrag. Ich wiederhole: Wenn euch jemand nur einen bestimmten Betrag überweisen kann und mit "ooch, das Geld ist schon unterwegs, kann ich nicht mehr ändern" o.ä. antwortet, dann Vorsicht. Diese Person hat keine Kontrolle über das Konto. Ihr müsst als Verkäufer den genauen Überweisungsbetrag vorgeben, ohne Kompromisse.
Weiter geht's: Macht vor dem Verkauf klar, dass ihr euch das Recht vorbehaltet, im Zweifelsfall zur Betrugsprävention eine Ausweiskopie zu fordern und tut es auch, wenn etwas komisch riecht. Wenn der Käufer damit nicht einverstanden ist, dann soll er euch Bargeld vorbei bringen.

Rechtlich (imho): Wenn ihr drauf reingefallen seit, dann behaltet das Geld und wartet, bis ihr kontaktiert werdet. Wenn ihr damit ein Problem habt, dann geht zur Polizei und erstattet Anzeige gegen Unbekannt, aber lasst das Geld, wo es ist, bis der Sachverhalt klar ist. Das kann genauso gut ein Schema zur Geldwäsche sein, an dem ihr nicht teilnehmen wollt.
Wenn ihr die Bitcoins schon überwiesen habt, ist das im Zweifelsfall euer Schaden, aber erst, wenn euch das jemand von offizieller Seite so sagt. Nicht einschüchtern lassen, wenn der Ticketkäufer mit der Polizei drohen sollte. Wenn ihr nachweisen könnt, dass ihr (außer eurer Marge) nichts an dem Deal verdient habt, dann sollte der Staatsanwalt in euch auch keine Beihilfe vermuten können.

Hoffe, der Community hier etwas gutes getan zu haben. Über ähnliche Anekdoten würde ich mich freuen.

[flipperfish]

Weiter geht's: Macht vor dem Verkauf klar, dass ihr euch das Recht vorbehaltet, im Zweifelsfall zur Betrugsprävention eine Ausweiskopie zu fordern und tut es auch, wenn etwas komisch riecht. Wenn der Käufer damit nicht einverstanden ist, dann soll er euch Bargeld vorbei bringen.

Nur zur Info: Ausweiskopie dürfen nur Banken (mit Bafin-Lizenz) und Telekommunikations-Anbieter anfordern. Ansonsten ist das verboten und hätte vermutlich keine Beweiskraft. (Source: http://www.datenschutzbeauftragter-info.de/nicht-bemerkt-personalausweis-kopieren-verboten/)

[BitAurum]

Dieser Kommentar ist ein guter Grund dafür, weshalb ich die Floskel "Meiner Meinung nach" gerne sehe, besonders wenn es sich um Auffassungen handelt, die über drei bis vier Schritte in den Brei verwandelt wurden, den manch einer als "Information" versteht.

Nur zur Info: Ausweiskopie dürfen nur Banken (mit Bafin-Lizenz) und Telekommunikations-Anbieter anfordern. Ansonsten ist das verboten und hätte vermutlich keine Beweiskraft. (Source: http://www.datenschutzbeauftragter-info.de/nicht-bemerkt-personalausweis-kopieren-verboten/)

Wenn sich der Käufer damit einverstanden erklärt, im Zweifelsfall seine Identität feststellen zu lassen, dann ist es ihm nach § 20 (Verwendung durch öffentliche und nichtöffentliche Stellen) PAuswG Abs. 1 ("Der Inhaber kann den Ausweis bei öffentlichen und nichtöffentlichen Stellen als Identitätsnachweis und Legitimationspapier verwenden.") erlaubt, dafür seinen Ausweis zu benutzen. Natürlich gerne mit geschwärzten Stellen, die z.B. die Autorisierungsnummer verbergen. Wenn er das vor dem Kauf als Bedingung akzeptiert, dann verstehe ich dein Problem nicht.

Weiters kann ich noch - und das ist ein Fall für "meinem Verständnis nach" - § 8 (Aufzeichnungs- und Aufbewahrungspflicht) im GwG empfehlen, der in meinem Fall genau dann eintritt, wenn ich z.B. Gold für mehr als 15.000 Euro verkaufe, "anonyme elektronische Zahlungssysteme" für mehr als 1.000 Euro benutzt werden oder es sich um Geld handelt, welches möglicherweise aus kriminellen Aktivitäten stammt (Definition in §3 GwG). Verpflichtet dazu ist übrigens seit Ende 2011 unter anderem auch jeder, der gewerblich mit Gütern handelt. Klingt komisch, ist aber so.

Will sagen: Ich nötige niemanden willkürlich nach dem Kauf, mir seinen Ausweis zu zeigen, aber ich erkläre in den AGB genau, dass im Zweifelsfall eine Kopie nötig ist. Wer damit von Anfang an nicht einverstanden ist, darf sich einen anderen Deppen suchen.

Um auch noch etwas Anstoß zur Überlegung zu geben: Wenn ihr dieselbe Auffassung wie Flipperfisch habt, diese im Zweifelsfall kundtut, euer Geld auf meinem Konto ist, im Überweisungsbetreff "ebay-Artikel sowieso" steht und ich sicher sein kann, dass damit etwas faul ist, wäre es meine gute Bürgerpflicht, ohne die Ausweiskopie eben direkt zur Polizei zu gehen und die verdächtigte Straftat anzuzeigen. Die ist nämlich eine berechtigte Behörde.

[flipperfish]

Weiter geht's: Macht vor dem Verkauf klar, dass ihr euch das Recht vorbehaltet, im Zweifelsfall zur Betrugsprävention eine Ausweiskopie zu fordern und tut es auch, wenn etwas komisch riecht. Wenn der Käufer damit nicht einverstanden ist, dann soll er euch Bargeld vorbei bringen.

Nur zur Info: Ausweiskopie dürfen nur Banken (mit Bafin-Lizenz) und Telekommunikations-Anbieter anfordern. Ansonsten ist das verboten und hätte vermutlich keine Beweiskraft. (Source: http://www.datenschutzbeauftragter-info.de/nicht-bemerkt-personalausweis-kopieren-verboten/)

Vielleicht erst Mal genau lesen und dann bellen. Es geht hier um das elektronische Speichern bzw. Kopieren des Personalausweis, das verboten oder zumindest fragwürdig ist. Ich denke nicht, dass es rechtswidrig ist, sich den Ausweis zeigen zu lassen und sich z.B. die Adresse zu notieren. Genauso ist es sicherlich nicht rechtswidrig, wenn dein Geschäftspartner seinen Ausweis selbst einscannt und ihn dir freiwillig schickt. Wenn es aber um ein Geschäft geht, und der Geschäftspartner sein Geld wiederhaben möchte (oder ähnliche Konstellation), dann kann man die Ausweiskopie nicht verlangen.

Um auch noch etwas Anstoß zur Überlegung zu geben: Wenn ihr dieselbe Auffassung wie Flipperfisch habt, diese im Zweifelsfall kundtut, euer Geld auf meinem Konto ist, im Überweisungsbetreff "ebay-Artikel sowieso" steht und ich sicher sein kann, dass damit etwas faul ist, wäre es meine gute Bürgerpflicht, ohne die Ausweiskopie eben direkt zur Polizei zu gehen und die verdächtigte Straftat anzuzeigen. Die ist nämlich eine berechtigte Behörde.

Ja, richtig, die Polizei darf eine solche Kopie bzw. elektronische Speicherung ("Scan") anfertigen, der normal-Bürger nicht (oder zumindest ist es fragwürdig). Wäre mein Geld auf deinem Konto, wäre es mir sicher lieber die Sache durch die Polizei klären zu lassen, als dir meinen Ausweis einzuscannen.

[BitAurum]

Vielleicht erst Mal genau lesen und dann bellen. Es geht hier um das elektronische Speichern bzw. Kopieren des Personalausweis, das verboten oder zumindest fragwürdig ist. Ich denke nicht, dass es rechtswidrig ist, sich den Ausweis zeigen zu lassen und sich z.B. die Adresse zu notieren. Genauso ist es sicherlich nicht rechtswidrig, wenn dein Geschäftspartner seinen Ausweis selbst einscannt und ihn dir freiwillig schickt. Wenn es aber um ein Geschäft geht, und der Geschäftspartner sein Geld wiederhaben möchte (oder ähnliche Konstellation), dann kann man die Ausweiskopie nicht verlangen.

Das ist leider recht subjektive Semantik, die von mir aus jemand anders klären soll: Dass ich in dem konkret beschriebenen Fall einen Ausweis will, ist schlicht und einfach irgendetwas zwischen höflichst bitten und nötigen. Das Geld bleibt halt so lange liegen und die Transaktion wird eingefroren, um möglicherweise geschädigten Personen die Möglichkeit zu geben, sich zu melden.

In gewissen Fällen, und das schließt pauschal gewerbliche Transaktionen ab einer gewissen Summe mit ein, habe ich als Gewerbetreibender die gesetzliche Pflicht, die Daten im Ausweis aufzunehmen. Genauso, wenn Geld fragwürdigen Ursprungs im Spiel ist, was hier der Fall wäre.

Wenn du einen Wagen für mehr als 15.000 Euro bar kaufen willst und der Autohändler deine Daten nicht feststellt und festhält, dann such dir einen Anwalt und lass ihn abmahnen. Eine Kopie ist dafür zulässig, die Daten als Aquarell abzumalen auch. Wenn du mir erklärst, wie man das im Fernabsatz anders machen soll, als nach einem Foto oder Scan zu fragen (hat halt nicht jeder ein Gerät für digitale Signaturen mit dem E-Perso daheim), lasse ich mich gerne belehren.

Ich denke, hier treffen gewisse Strömungen aufeinander, die per se nicht wirklich in entgegengesetzte Richtungen zeigen. Ich schätze jedermanns Anonymität und werde jedem, der mir einen Stapel Bargeld in die Hand drückt, eine entsprechende Menge an Bitcoins verkaufen, ohne überhaupt den Namen der Person zu kennen. Natürlich im gesetzlichen Rahmen, da gibt es Freibeträge (und ich kann mir Gesichter nicht gut merken, keine Ahnung, ob der dieses Monat schon mal da war...).
Eine andere Sache ist es, wenn bereits offensichtlich ist, dass etwas im Argen liegt, während bereits Schuldenverhältnisse bestehen. Ich kann nicht für jede schräg aussehende Transaktion für 1,5 Stunden auf der Wache sitzen und genau erklären, wie ich vermute, dass das jemand anders sein könnte, der mir da gerade Geld auf mein Konto überwiesen hat. Und auch, wenn ich den Spruch hasse wie die Pest (und deshalb etwas umtexte): Der, der reinen Gewissens ist, wirft mir normalerweise auch das erste .jpg zu. Letztens eine Kopie von einem VonundZu aus Garmisch bekommen, musste ich lachen, dann löschen.

Nichts desto trotz bedanke ich mich für den Hinweis darauf, dass es mit der Forderung nach Ausweiskopien Probleme geben kann und entschuldige mich dabei auch gleich für mein "Bellen". Es wird wohl nicht jeder einen Onlineshop betreiben, in dem AGB angeklickt werden müssen, welche eine entsprechende Klausel erhalten.

Deshalb ein Update zu dem Artikelchen oben:
Prävention Option #2: Eine Möglichkeit, um den erlaubten Zugriff auf das entsprechende Bankkonto durch den Bitcoin-Käufer zu überprüfen, welche in dem geschilderten Szenario gut funktionieren sollte, wäre eine Cent-Überweisung auf das Konto, von dem die Bezahlung erfolgt ist. Man überweist 0,01 € zurück und setzt "Butterbrot" in den Betreff. Wenn der Käufer das Codewort lesen kann, ist ein passiver Zugriff auf das Konto möglich, was in diesem Fall gut genug sein sollte.
Prävention Option #3: Führerschein. Stromrechnung. Bild der offenen Haustür as seen in Google Earth. Post des Nachbarn.  Facebook-Account der Ex-Freundin. Führungszeugnis. Meldeschein. Ärztliches Attest der Gesundheit. Ärztliches Attest der Krankheit (Krankheit geschwärzt).
Prävention Option #4 (Nur nach vorheriger Abmachung): Man bittet um eine Postadresse, an die man einen Private Key aus bitaddress.org o.ä. versendet. Wenn der Käufer den Key erhalten hat, überweist man die Bitcoins auf die Adresse. So ist zumindest eine Postanschrift vorhanden.

Nicht vergessen: Wer Bitcoins per Banküberweisung kaufen will, der hat zumindest kein Problem, seine Kontodaten herzugeben, wieso sollte dann plötzlich eine Linie überschritten werden, wenn es um weitere Details geht?

(edit: Typos...)

[Schabooza]

Wenn ich mal das aus meiner eher paranoiden Sicht sagen darf warum kein Perso. Ich bin immer vorsichtig was KontoNr, Perso etc angeht. Wenn man die KontoNr jemanden gibt ist das eine Sache, ich kann das Kontosperren oder Überweisungen zurück rufen. Beim Perso geht das nicht. Wie soll ich beweisen das ich XY mein Perso zugeschickt habe? Ein Email-Fach kann jeder erstellen und behaupten das gehöre jemand anderen.
Wenn ich etwas ü18 bestelle dann nur per Nachnahme. Wenn jemand dort in die Datenbank einbricht findet er nur mein Perso, hat aber keine KontoNr..
Vielleicht bin ich einfach zu vorsichtig, aber die Gefahr ist mir zu hoch das man mir die Identität stehlt. 

Letztendlich, wenn es deine Bedingung ist, hat jeder die freie Wahl es zu machen oder nicht. Daher erübrigt sich meiner Meinung nach auch groß eine Diskussion keiner wird gezwungen, wenn du es vorher deutlich machst.

Wichtig ist mir noch folgendes:
Nur den Schluss zu ziehen weil jemand etwas nicht macht ist er böse darf man nicht. Das macht die Polizei gerne, obwohl man lediglich seine Rechte wahrnimmt.

PS: wäre es nicht einfach möglich das du bei Verwendungszweck etwas bestimmtest eintragen lässt? Also etwas das Auffallen würde, wenn man so etwas bei einer Ebay Auktion als Verwendungszweck verlangt. Ich Betrüge oder so^^

[BitAurum]

Wenn ich mal das aus meiner eher paranoiden Sicht sagen darf warum kein Perso. Ich bin immer vorsichtig was KontoNr, Perso etc angeht. Wenn man die KontoNr jemanden gibt ist das eine Sache, ich kann das Kontosperren oder Überweisungen zurück rufen. Beim Perso geht das nicht. Wie soll ich beweisen das ich XY mein Perso zugeschickt habe? Ein Email-Fach kann jeder erstellen und behaupten das gehöre jemand anderen.
Wenn ich etwas ü18 bestelle dann nur per Nachnahme. Wenn jemand dort in die Datenbank einbricht findet er nur mein Perso, hat aber keine KontoNr..
Vielleicht bin ich einfach zu vorsichtig, aber die Gefahr ist mir zu hoch das man mir die Identität stehlt.  

Banküberweisungen, die aktiv getätigt wurden, sind in der Regel nicht rückbuchbar. Was die Leute aber gerne machen, ist eine Einzugsermächtigung zu faken, die kann man stornieren, wenn man es denn merkt. Aber ja, Bankdaten sollten geheim gehalten werden - bis zu dem Moment, wo man seine Miete zahlt oder der Praktikant bei der Gehaltsabrechnung einen Blick auf deine Daten wirft oder du irgendwann irgendwo was bezahlen musst Selbes gilt noch stärker für den Personalausweis, wenn man nicht weiß, wer am anderen Ende sitzt. Aber natürlich habe ich eine verzerrte Wahrnehmung, wer hier die guten sind, und mein Gegenüber kann in keinem Fall wissen, dass ich ihn nicht abziehen werde, das stimmt leider...

Letztendlich, wenn es deine Bedingung ist, hat jeder die freie Wahl es zu machen oder nicht. Daher erübrigt sich meiner Meinung nach auch groß eine Diskussion keiner wird gezwungen, wenn du es vorher deutlich machst.

Wichtig ist mir noch folgendes:
Nur den Schluss zu ziehen weil jemand etwas nicht macht ist er böse darf man nicht. Das macht die Polizei gerne, obwohl man lediglich seine Rechte wahrnimmt.

Muss ich zustimmen, ist ein falscher Schluss. Aber reine Empirie und das Bauchgefühl sagen mir, dass jemand, der mit "ja kann ihnen schon einen Ausweis schicken aber das ist mir zu viel Aufwand, bitte überweisen Sie das Geld zurück" vermutlich gerade am lügen ist.

PS: wäre es nicht einfach möglich das du bei Verwendungszweck etwas bestimmtest eintragen lässt? Also etwas das Auffallen würde, wenn man so etwas bei einer Ebay Auktion als Verwendungszweck verlangt. Ich Betrüge oder so^^

Bis jetzt war es eine Ordernummer und "bitcoin", die in den Überweisungszweck sollten, meistens stand nur die Ordernummer drin. Kann ich dann natürlich genau zuordnen, aber ich kann nicht sicher sein, dass die Leute am anderen Ende der Überweisung wissen, wem sie gerade ihr Geld schicken.
Alles eine Krux. Ich schätze, ein Geschäftskonto mit der Firma als Inhaber und Namensgeber und nicht "A. Golser, Internetvertrieb" wären vielleicht hilfreich.

[2weiX]

abmahnen.

hobby von dir, wa?

[Chefin]

Und wie bekommst du geld wenn du etwas verkaufst ohne das du deine Kontodaten angibst?

Und auch wenn du kaufst, landen die Kontodaten beim Käufer. Auch dann wenn du selbst via Vorkasse überweist. Ich bekomme dann natürlich Namen und Kontonummer auf meinem Bankauszug.

Und des weiteren sind bei allen materiellen Gütern deine Adresse auch kein Geheimniss mehr. Wo sonst soll ich den das Paket hinschicken und die Rechnung schreiben. Selbst bei Paketfach wird die Rechnung weiterhin an deine reale Adresse geschrieben. Würdest du hier "pfuschen" wäre im Zweifel dein Garantieanspruch dahin bzw jegliche Rückgabe.

Was genau steht den noch auf dem Ausweis? Geburtsdaten (Datum und Ort). Das ist das einzige was erstmal nicht nötig ist für den Kauf.

Alle anderen Daten incl deiner Bankdaten sind völlig offen für Betrüger. Kommt wohl dann eher auf die Art des Betruges an. In diesem geschilderten Fall würdest du die Daten freiwillig Preis geben.

Und da eingangserwähnter Fall etwas umständlich beschrieben wurde noch mal eine Schnellzusammenfassung.

Ich kaufe Bitcoins für 110Euro und verkaufe Eintrittskarten für 110Euro. Beim Käufer der Eintrittskarten gebe ich die Bankdaten an wohin ich das geld für die Bitcoins überweisen soll(also die Bankdaten des BTC-Verkäufers). Das Geld des Kartenkäufers landet beim BTC-Verkäufer und der schickt mir die BTC. Nur ich schicke keine Eintrittskarten. Der geprellte Käufer der Eintrittskarten wird nun den BTC Verkäufer antickern und ich bin völlig aussen vor. Ausser der Emailadresse gibt es nichts woran man mich festmachen kann. Der Geldfluss der BTC ist anonym, ich schick das Geld weiter und lass mir Euros zahlen.

Und das würde nicht klappen, wenn ich beim kaufen der BTC mich ausweisen müsste. Dann kann der BTC-Verkäufer die Polizei weiter leiten an den Käufer der BTC. Ansonsten könnte man vieleicht noch beweisen nix mit den Kartenverkauf zu tun zu haben, aber müsste dann das Geld zurück geben. Die BTC sind aber weg.

Kaum möglich solcher art scam aufzudecken, wenn er etwas mit Hirn gemacht wird.

[Rising]

Prävention Option #2: Eine Möglichkeit, um den erlaubten Zugriff auf das entsprechende Bankkonto durch den Bitcoin-Käufer zu überprüfen, welche in dem geschilderten Szenario gut funktionieren sollte, wäre eine Cent-Überweisung auf das Konto, von dem die Bezahlung erfolgt ist. Man überweist 0,01 € zurück und setzt "Butterbrot" in den Betreff. Wenn der Käufer das Codewort lesen kann, ist ein passiver Zugriff auf das Konto möglich, was in diesem Fall gut genug sein sollte.

Da wäre ich mir nicht so sicher. Ich denke an folgendes Szenario: Der Scammer gibt fremde Kontodaten an und weist den Kontoinhaber, der bei ihm Justin-Bieber-Tickets kaufen will, an, "aus Verifikationsgründen" ihm das Codewort seiner 1-Cent-Überweisung zu nennen.

[BitAurum]

Also wenn bei einem Betreff wie "Verifizierung Konto Bitcoin-Kauf: 0815" noch jemand glaubt, dass es da um Justin Bieber Tickets geht, dem soll wohl nicht geholfen werden. Zur Not als SEPA-Überweisung schicken, da hat man 4 Zeilen und kann "Info: www.example.com/erklaerung" reinsetzen. Aber ja, im Zweifelsfall von der Uneinsicht des Opfers ausgehen, da gebe ich Rising recht.

[joecooin]

Wenn du einen Wagen für mehr als 15.000 Euro bar kaufen willst und der Autohändler deine Daten nicht feststellt und festhält, dann such dir einen Anwalt und lass ihn abmahnen.

Wow.

Sorry, aber niemandem, der solche Gedankengaenge hat und äussert / solche Voschlaege macht, wuerde ich jemals auch nur ein Auto verkaufen, mit oder ohne ID, fuer welchen Betrag auch immer.

Joe