Kriminelle gehen mit geklautem Digitec-Konto auf Einkaufstour
Mittels Cookie-Klau ist es Cyberkriminellen gelungen, das Konto eines Digitec-Users zu übernehmen. Darüber bestellten sie Waren im Wert von 1300 Franken. Diesen Betrag fordert Digitec nun vom Inhaber des gekaperten Accounts zurück.
Wenn Cyberkriminelle mit einem geklauten Konto auf Shoppingtour gehen, ist das ärgerlich. Richtig frustrierend wird es aber, wenn der Onlineshop beim Inhaber des missbrauchten Kontos den Betrag für die derart eingekauften Artikel zurückfordert. So ergeht es aktuell einem Digitec-Kunden, dessen Geschichte das SRF-Konsumentenmagazin "Espresso" erzählt.
Der Luzerner hatte demnach vor ein paar Monaten bemerkt, dass etwas nicht stimmt, als er sich nicht mehr beim Onlinehändler Digitec einloggen konnte – wie er später feststellte, hatten die Cyberkriminellen sein Passwort und die hinterlegte E-mail-Adresse geändert. Nachdem der Digitec-Kundendienst den Kontozugang wiederhergestellt hatte, erlebte der Kunde die wirklich böse Überraschung: Die Gauner hatten bereits Waren im Wert von 1300 Franken bestellt. Und genau diese 1300 Franken fordert der Onlinehändler nun vom Inhaber des missbrauchten Kontos zurück.
Polizei ermittelt, Digitec bleibt stur
In der Bestellhistorie konnte der Kunde die von den Gaunern verwendete Lieferadresse entdecken. Die dort angegebene Person aus der Westschweiz existiere tatsächlich, sagte er gegenüber SRF. Sowohl er als auch Digitec erstatteten danach Anzeige bei der Polizei. Wie weit die Behörde mit ihren Ermittlungen ist, ist dem SRF-Magazin nicht bekannt.
Derweil hält Digitec an seiner Forderung gegenüber dem Kunden fest: Man könne nachweisen, dass die Logindaten nicht aus dem eigenen System entwendet worden seien und es habe kein Hack stattgefunden, erklärt der Onlinehändler gegenüber SRF. "Die Täterschaft ist mit gültigen Anmeldedaten in das Kundenkonto eingedrungen." Und unter Berufung auf die allgemeinen Geschäftsbedingungen (AGBs) heisst es, der Kunde sei selber für sein Login verantwortlich und müsse die Rechnung entsprechend begleichen.
Kontoübernahme mit Cookie-Klau
Dem hält der Geschädigte entgegen, er könne sich nicht erklären, wie und wann die Kriminellen seine Zugangsdaten erbeutet haben sollen. Zudem habe ihn der Onlinehändler nicht über die geänderte Lieferadresse benachrichtigt. Dies, obwohl der Kunde eine entsprechende Einstellung aktiviert hatte.
Gegenüber SRF präzisiert Digitec, dass sich die Cybergauner offenbar mittels kopierter Browser-Cookies Zugriff auf das Kontos ihres Opfers verschafften. In den Cookies, die ausschliesslich auf dem Computer der User gespeichert sind, vermerkt Digitec, ob sich ein Benutzer angemeldet hat und identifiziert sein Gerät. Da die Cyberkriminellen das geklaute Cookie nutzten, stufte die Digitec-Website die von ihnen getätigten Manipulationen als vertrauenswürdig ein und verschickte keine Benachrichtigungen.
Cybersecurity-Anbieter Sophos warnte im August 2022 vor weiteren Tricksereien mit kopierten Cookies, wie Sie hier lesen können.
Für Digitec ist damit klar, "dass die Angreifer zum Zeitpunkt der Bestellung Zugriff auf Geräte des Kunden bzw. dessen Cookies hatten", wie der Onlinehändler gegenüber SRF mitteilt. Der ausgenutzte Kunde sagt, er sei sehr vorsichtig und befolge die gängigen Sicherheitstipps. Nur die Zwei-Faktoren-Authentifizierung, mit welcher jede Anmeldung zusätzlich bestätigt werden muss, habe er nicht aktiviert.
Sicherheitsregeln befolgen und möglichst rasch informieren
Um zu vermeiden, selber Opfer eines solchen Kontodiebstahls zu werden, rät SRF zu folgenden Sicherheitsmassnahmen:
-
für jeden Onlineshop ein anderes Passwort wählen;
-
Das verwendete Computersystem aktuell halten und die neuesten Updates einspielen;
-
Einen Virenschutz installieren;
-
Keine verdächtigen E-Mails öffnen;
-
Nicht antworten auf Phishing-Mails, in denen nach persönlichen Daten oder Passwörtern gefragt wird;
-
Im Internet sparsam sein mit persönlichen Daten (Profile in socialen Medien auf Privat stellen und auf Formularen von Onlineshops nur die zwingend erforderlichen Felder ausfüllen); und
-
Wo immer möglich: Die Zwei-Faktor-Authentifizierung einrichten.
Wer glaubt, bereits Opfer geworden zu sein, dem empfiehlt SRF, sein Passwort möglichst schnell zu ändern und Kontakt mit dem jeweiligen Onlineshop aufzunehmen.
Dass Digitec übrigens die 1300 Franken vom Inhaber des missbrauchten Accounts zurückfordert, ist rechtens, wie SRF unter Berufung auf Anwalt und Digitalexperten Martin Steiger anfügt. Digitec rät dem Geschädigten, mit seiner Haftpflichtversicherung Kontakt aufzunehmen. Je nach Deckung könnte laut Steiger in ähnlichen Fällen auch eine Cyberversicherung greifen.
Accounts sind für Cyberkriminelle lohnende Ziele. Wer einen Account kapert, sichert sich eine gute Einnahmequelle. Woran man Account Hijacking erkennt und vor allem, wie man es verhindert, erklärt Jeroen Kemperman, Product Lead Account Security für Google Workspace.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.