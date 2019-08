Jeder kennt diese Ebay-Angebote, die zu gut klingen, um wahr zu sein. Meist vermutet man dahinter dann einen Betrüger, der das Geld kassiert, ohne jemals Ware zu versenden. Nina Kollars dagegen bekam bei einem Espresso-Deal deutlich mehr, als sie sich erhofft hatte. Und entdeckte so eine Masche, gestohlene Kredikarten-Daten zu Geld zu machen.

Dabei fing es ganz harmlos an. Wie so viele Menschen trinkt auch Kollar gerne Kapsel-Espresso. Weil ihr die Preise bei Nespresso selbst aber zu hoch waren, suchte sie bei Ebay nach einer günstigeren Variante - und wurde fündig. 200 Kapseln zum halben Preis bestellte sie am Ende, erzählte sie bei einem Vortrag auf der Hacker-Messe Def Con. Und tatsächlich kamen die spottbilligen Kapseln auch bei ihr an - gemeinsam mit einer 280 Dollar teuren Kaffee-Maschine. Die hatte sie aber weder bestellt noch bezahlt.

Ein Netzwerk aus Kaffee-Anbietern

Irritiert machte sie sich auf die Suche nach einer Erklärung. Tatsächlich entdeckte sie bald, dass es sehr viele Ebay-Accounts gab, die gerade erst eröffnet worden waren und extrem günstige, höherpreisige Produkte wie Nespresso-Produkte verhökerten. Sie nahm Kontakt mit beiden Firmen auf, bot Nespresso an, die Maschine zurückzuschicken. Der Kaffee-Gigant lehnte dankend ab. Doch Kollar war noch nicht fertig.

"Ich dachte mir: Das muss Betrug sein. Aber ich bin mir noch nicht sicher, wie er funktioniert", erklärte sie im Vortrag. Also begann sie, mehr Produkte zu bestellen. Tatsächlich erhielt sie Hunderte Kaffeekapseln sowie einen Milchschäumer, den sie wie die Maschine nicht geordert hatte. Insgesamt landeten so Waren im Wert von fast 950 Dollar in ihrem Postfach - für die sie unter 400 Dollar gezahlt hatte.

Kreditkartendaten zu Geld gemacht

Im Laufe der Bestellungen kam sie auch darauf, wie genau der Betrug funktionierte: Die Verkäufer stellten demnach die Ware ein, ohne sie selbst zu besitzen. Wenn ein Kunde zuschlug, bestellten sie selbst die Ware bei Nespresso - und bezahlten dort mit auf den Namen unwissender Opfer ausgestellten Kreditkarten. Am Ende hatten sie durch die gestohlenen Karten Geld verdient, ohne dass die Käufe direkt auf sie zurückzuführen waren. Die Extraware habe sie wohl erhalten, weil die Betrüger sich wenig Mühe gaben, die Deals ordentlich auseinander zu halten, vermutet Kollar. Schließlich verloren die Betrüger selbst kein Geld.

Am Ende gelang der Hackerin ein Coup: Einer der Ebay-Abzocker reagierte tatsächlich auf ihre Anfrage. Und Kollar wurde überrascht. "Ich wollte immer euer Bestes", bekam sie da zu hören. Der Verkäufer würde ihr auch ein beliebiges anderes Produkt zuschicken. Zudem müsste er mit seiner Mutter ins Krankenhaus. "Bitte lass mich den Vorgang einfach stornieren.". Er sei dabei immer enorm höflich gewesen so Kollar. "Ich hoffe, seine Mutter ist in Ordnung."

Starting bid 1 dollar. Auction closes 10am pick up the espresso machine and 55 capsules tomorrow at tamper evident village. Cash only don't be a juice box. Proceeds to @DianaInitiative pic.twitter.com/1mrKRN2FHS — Nina "Kitty Hegemon" Kollars @ Hacker Summer Camp (@NianaSavage) August 10, 2019

Rentner als bevorzugte Opfer

Ganz ohne Opfer bleibt die Masche natürlich nicht. Obwohl die Kunden ihre Produkte und Nespresso sein Geld bekommt, bezahlen natürlich die Opfer, auf deren Namen die Kreditkarten ausgestellt werden. Nach Kollars Recherche handelt es sich dabei vor allem um ältere Leute, viele von ihnen bereits im Rentenalter. Sie vermutet, dass diese Altersgruppe gezielt ausgewählt würde.

Am Ende tat die Sicherheitsexpertin natürlich das Richtige: Sie übergab ihre Recherchen an Nespresso, Ebay und auch das FBI. Ein Feedback bekam sie zwar nicht, die Kaffeedeals seien aber verschwunden, erklärt sie. Einen Teil ihrer "Beute" versteigerte sie noch vor Ort: Die geschenkte Kaffeemaschine wurde erfolgreich für 110 Dollar versteigert. Die Erlöse gingen an eine Stiftung, die weibliche Hacker unterstützen soll.

Quelle: Def Con via Mashable