Die Zustellung sei nicht möglich - entweder seien die Adressangaben unvollständig oder die Zollgebühren nicht bezahlt worden: Derartige Textnachrichten, warnen sowohl Verbraucherzentrale als auch DHL, versende nicht der Paketdienst selbst.

Man werde Kunden „nie per SMS nach Ihren persönlichen Daten fragen oder zu Zahlungen auffordern“, heißt es auf der DHL-Webseite. Und doch gelingt es Betrügern regelmäßig, mittels „Smishing“ - also dem Betrug per SMS - an sensible Daten zu gelangen.

„Durch Online-Shopping erwartet fast jeder ständig ein Paket“

So auch im Falle von Lucy und Fabrice. Das Paar aus Berlin schildert in Folge eins der BR-Doku-Reihe „Kings of Scam - Wer klickt, verliert“, wie Cyberkriminelle insgesamt 1.650 Euro von Fabrices Konto abbuchten. „Auf null. Sein Konto war leer“, erinnert sich Lucy. „So Tage können auch lang werden, bis dann wieder Gehalt kommt. Und wenn nichts mehr da ist, ist das natürlich schwierig.“

Die Kaufhaus-Mitarbeiterin erklärt, wie es so weit kommen konnte: „Ich hatte meinen freien Tag und da versucht man ja, viel unter einen Hut zu kriegen.“ Das Paar bestelle online regelmäßig Tiernahrung. „An dem Tag sollte das Hundefutter kommen. Deswegen war das für mich absolut schlüssig mit dem Paket, weil wir ja drauf gewartet haben.“ Auch, als sie auf den Link in der vermeintlichen Paketdienst-SMS klickte und auf eine angebliche DHL-Seite gelangte, kamen Lucy keine Zweifel: „Das sah für mich seriös aus, mit dem Hintergrund und dem Schriftzug.“

Ähnlich erging es Christoph Bergmann. Der Grundschullehrer fühlte sich „zeitlich unter Druck gesetzt“, als es in der Smishing-Nachricht hieß, er müsse seine Adresse „innerhalb von zwölf Stunden“ bestätigen. Als 247 Euro von seinem Konto abgebucht wurden, war er „entsetzt, dass sowas möglich ist - dass Kriminelle einfach an meine Kreditkartendaten kommen“.

„Durch Online-Shopping erwartet fast jeder ständig ein Paket“, gibt Erlend Leiknes zu bedenken. Der Norweger ist Software- und Anwendungssicherheitsspezialist. „Der passendste Begriff ist 'ethischer Hacker'“, erklärt er im Film. Gemeinsam mit seinem Kollegen Harrison Sand hat er es sich zur Aufgabe gemacht, die Masche hinter dem Betrug nachzuvollziehen.

Experten zeigen: So leicht ist es, per „Smishing“ an sensible Daten zu gelangen

Den Experten zufolge verwenden die Scammer eine spezielle Software, mit der sie die Fake-Webseiten erstellen. Leiknes und Sand gelang es sogar, sich Zugriff zu den Abläufen im Hintergrund zu verschaffen. „Während die Opfer die Daten eingaben, konnten wir das quasi live mitverfolgen“, erzählt Harrison Sand. Wie die Betrüger selbst konnten sie „Tastendruck für Tastendruck“ sehen, wie Name, Adresse und Kreditkartennummer in Echtzeit an die Betreiber der gefälschten Homepages gelangen. Das Fazit der „ethischen Hacker“: Für die Scammer ist es ein Leichtes, die sensiblen Daten zu klauen.

Deutlich schwerer ist es, juristisch gegen den Betrug vorzugehen. „Häufig sitzen die Täter ja nicht in Deutschland“, weist die ehemalige Oberstaatsanwältin Anne Brorhilker, heute Co-Geschäftsführerin der Bürgerbewegung Finanzwende, auf die größte Problematik hin: „Das endet dann irgendwo im Ausland. Und da können deutsche Behörden ja nicht ermitteln. Die Kompetenzen von deutschen Behörden enden hier, an den deutschen Grenzen - nur dummerweise Kriminalität nicht.“

Die insgesamt dreiteilige „team.recherche“-Reihe „Kings of Scam - Wer klickt, verliert“ ist ab sofort in der ARD Mediathek zu sehen. (tsch)