Strafanzeige gegen Fa. Vinted.de wegen versuchtem Phishing

Staatsanwaltschaft München I
Linprunstraße 25
80097 München

cc BMJV

04. Okt. 2021

Ich erstatte Strafanzeige gegen die Firma

Vinted UAB, Švitrigailos Str. 13, LT-03228 Vilnius, Republik Litauen
Email: dpo@vinted.lt

wegen Verstosses gegen § 269 StGB, Stichwort ‘Phishing’, Verstoss gegen das DSGVO sowie § 242 BGB.

Begründung

Ich bin seit zwei oder mehr Jahren Mitglied bei der Kleider-Secondhand Plattform “vinted.de”, früher “Kleiderkreisel”. Das Login erfolgt über 2-Faktor-Authorisierung (2FA) mit Smartphone. Diese Telefonnummer ist in Deutschland identifiziert. Zwei mal hatte ich gebeten, die 2FA optional zu machen, denn bei mir ist sie Overkill.

Am 14. Sept. 2021 er hielt ich eine Email von vinted@vinted.de (siehe S. 4):

“… wir haben leider verdächtige Aktivitäten in deinem Account festgestellt. Es wurde nämlich versucht, sich in deinen Vinted-Account von einem neuen Gerät oder von einem ungewöhnlichen Ort aus anzumelden. Dabei hat man deine Anmeldedaten verwendet. Es ist deswegen möglich, dass Dritte Zugriff auf deinen Account hatten.
Damit dir kein Schaden entsteht, wurde dein Account gesperrt.”

Sodann werden Identifizierungsmöglichkeiten angeboten.

  • Screenshot von einem Kontoauszug schicken, auf dem eine beliebige Transaktion, die du auf unserer Plattform ausgeführt hast, zu sehen ist. Auf dem Screenshot sollten der Inhaber der Kreditkarte und der Betrag der Überweisung sichtbar sein.
  • Du kannst beweisen, dass die in unserem System gespeicherte Adresse tatsächlich dir gehört. Schick uns einfach eine nicht mehr als 3 Monate alte Haushaltsrechnung, auf der dein Name und die aktuelle Adresse stehen (z.B. Gas-, Strom-, Wasser-, Festnetz- und nicht Mobilfunk-Rechnung), oder ein Foto/ einen Screenshot deines Kontoauszugs, auf dem deine Adresse zu sehen ist.
  • Du kannst uns ein Foto von deiner Kreditkarte zukommen lassen, die du für Einkäufe auf Vinted verwendet hast. Auf dem Foto sollten die letzten 4 Ziffern der Kartennummer sowie das Ablaufdatum zu sehen sein.

Ich teilte mit, VPN zu benutzen und damit ändere sich mein “Standort” täglich. Dies war vergeblich. Ein anderes Gerät zu benutzen ist nicht aussergewöhnlich. Es befinden sich in dem Account auch keine Daten zur Bankverbindung etc., sondern lediglich der Benutzername, die Emailadresse und Tel. Nr. Ausserdem benutze ich nicht das systemeigene Zahlungssystem. Wieso verlangt Vinted dann z.B. einen “Screenshot von einem Kontoauszug schicken, auf dem eine beliebige Transaktion, die du auf unserer Plattform ausgeführt hast, zu sehen ist. Auf dem Screenshot sollten der Inhaber der Kreditkarte und der Betrag der Überweisung sichtbar sein”?

Völlig amüsant wird Vinted dann selber in seinem Hilfe Center, wenn dort auf Seite 2 (siehe angehängtes PDF “Betrügerische Nachrichten und Phishing-Versuche erkennen”) gewarnt wird:

In einer Fake-Nachricht auf Vinted könntest du nach folgenden Angaben gefragt werden:

  • Login-Daten und Informationen zum Zahlungs-Account oder zu anderen Services, die du beim Kaufen und Verkaufen auf Vinted nutzt
  • E-Mail-Adresse, Telefonnummer, Bankkarten-Details, Bilder deines Personalausweises und ähnliche Informationen

Derartige Forderungen kenne ich von keinem Email Provider oder Amazon. Letzte Option ist eigentlich immer ein zugesandter Brief mit einem Code zum Eingeben. Google fragt z.B. “ Es ist von dem Gerät xyz einglogged worden. Waren das Sie oder nicht?” Weiter heisst es bei Google:

Der Schutz ist dennoch gegeben, da die Bestätigung in zwei Schritten weiterhin aktiviert ist, wenn Sie oder andere Nutzer versuchen, sich auf einem anderen Computer in Ihrem Konto anzumelden.

Mein Gang zur BMJV Website des Ministeriums, wo es heisst “Willkommen auf der Website des Bundesministeriums der Justiz und für Verbraucherschutz. Modernes Recht und starker Verbraucherschutz” erlaubte mir die Bekanntschaft mit einer Dame, die sich Fachberaterin für Verbraucherfragen nennt. Die Stärke des Verbraucherschutzes war verblüffend, die diese Fachberaterin servierte. Ich hatte geschrieben:

Guten Tag,

Ich erhielt folgende Mitteilung von Vinted. Ich erklärte Vinted klar, dass ich VPN benutze, d.h. der “Standort” ändert sich täglich. Die von Vinted gestellte Forderung der Authentifizierung widerspricht m.E. klar dem GDPR. Ausserdem gibt es so etwas niemals bei Amazon oder Google.

Hinzu kommt, dass ich seit Monaten nichts ver- oder gekauft habe über Vinted. Ich war bei Vinted eingeloggt, um Anzüge zu verfolgen. Das ist mein ganzes Engagement dort seit Monaten.

Als Antwort erhielt ich eine Email-Konserve, die völlig an der Sache vorbei ging. Das las sich so:

vielen Dank für Ihre Mitteilung.

Bei der von Ihnen beschriebenen Email handelt es sich möglicherweise um Spam.
Diese können Sie getrost löschen und ignorieren.

Leider sind uns Emails dieser Art bereits aus unserem Beratungsalltag bekannt. Leider erleben sie in der Corona Situation ebenfalls ein neues Revival.

Im Netz kursieren zuhauf Abzockmails, es handelt sich um Internetkriminalität. Die Absenderdaten sind jedes Mal andere. Dateien im Anhang werden von vielen Virenschutzprogrammen als Trojaner erkannt.

Was können Sie in solchen Fällen tun?

1. Löschen Sie die SMS und unternehmen Sie einfach nichts weiter, wenn Ihnen die Absender nicht bekannt sind.

2. Eine Antwort ist kontraproduktiv. Dies bestätigt nur, dass Ihre Handynummer wirklich existiert und Sie sich ggf. verunsichern lassen, was zu mehr Spam-Mails führen kann. Generell ist auch eine Anzeige bei der Staatsanwaltschaft möglich, allerdings sind die Aussichten auf Erfolg hier verschwindend gering.

3. Nutzen Sie immer ein zuverlässiges Virenschutzprogramm. Dieses sollte regelmäßig aktualisiert werden (Updatefunktion). Schließlich sollten Sie niemals Anhänge von unbekannten Absendern öffnen oder Links betätigen und Zugangsdaten eingeben. Auch bei merkwürdigen oder unerwarteten Anhängen von Bekannten ist Vorsicht geboten – kleine Schad-Programme können über das Öffnen von Mailanhängen in einen Computer gelangen und sich dann selbst an Kontakte im Adressbuch weiterversenden.

4. Geben Sie Acht, wem Sie Ihre E-Mail-Adresse weitergeben, und widersprechen Sie stets, dass diese zu Werbe- oder Marketingzwecken verwendet wird. Sie kann sonst – zum Teil leider auch legal – über einen Tauschmarkt bzw. Adresshandel weitergegeben werden.
Wirksame Maßnahmen gegen Spams oder Phishing-Mails gibt es leider nicht, schon deshalb, weil die Absender kaum zu eruieren sind und damit ein Vorgehen nicht möglich ist. Daher bringt auch eine Meldung beim BKA/LKA leider nichts.

Die Lösung des Problems liegt ausschließlich im technischen Bereich, d.h. es müssen gute Spamfilter installiert werden. Unbekannten gegenüber dürfen keine persönlichen Angaben gemacht werden, insbesondere ist Vorsicht geboten, wenn nach den Bankdaten gefragt wird.
Man sollte auch möglichst immer vermeiden, Anhänge zu öffnen.

Mit freundlichen Grüßen
i. A. Esther Jontofsohn-Birnbaum
Fachberaterin für Verbraucherfragen

Als ich nachhakte, erhielt ich die Mitteilung, man werde sich “gegebenenfalls” wieder melden. Für so etwas werden im Land mit der Frauen Quote Mitarbeiter tatsächlich remuneriert??

Auffallend ist die nahezu ausnahmslos schlechte Bewertung von Vinted auf Seiten wie Trustpilot und anderen.

Darf ich Sie bitten, dieser Sache nachzugehen.

Herzlichen Dank

(signed)


Externer Anhang PDF “Betrügerische Nachrichten und Phishing-Versuche erkennen”

Refugees compelled  to power the machine learning of companies like Google, Facebook, and Amazon

Following some excerpts from “Refugees help power machine learning advances at Microsoft, Facebook, and Amazon – Big tech relies on the victims of economic collapse“.

“A woman living in Kenya’s Dadaab, which is among the world’s largest refugee camps, wanders across the vast, dusty site to a central hut lined with computers. Like many others who have been brutally displaced and then warehoused at the margins of our global system, her days are spent toiling away for a new capitalist vanguard thousands of miles away in Silicon Valley. A day’s work might include labelling videos, transcribing audio, or showing algorithms how to identify various photos of cats. 

Amid a drought of real employment, “clickwork” represents one of few formal options for Dadaab’s residents, though the work is volatile, arduous, and, when waged, paid by the piece. Cramped and airless workspaces, festooned with a jumble of cables and loose wires, are the antithesis to the near-celestial campuses where the new masters of the universe reside.”

All that toiling spiced with some slogans these Western digital behemoths can come up with in their do-good drive.

– give “the most underprivileged people in the world”

– “job creation” in the Global South

– how does “impact sourcing” sound?

– “Give work, not aid”

– “virtual assembly line

– microwork programs

The Finnish company Vainu outsources tasks to prisoners that would otherwise go to Mechanical Turk, aiming to usher in, by its own lights, “a kind of prison reform.”

Read the full sickening post here.

“Anything that is technically feasible is financially affordable.”

Let’s kick this off with Ezra Klein and no, no names will be dropped:

“I would say the economics profession has just been devastatingly wrong about what effect different deficit levels would have over the past twenty years. I think you simply have to look at that, given the credentials of some of the people making these arguments, as—in aggregate—a record of a lot of failure…There were just a lot of warnings that just look completely ridiculous.”

Here is S Kelton who quoted him at the end of “Yes, We Can! But should we tell the masses?

Yesterday, I listened to an interesting podcast conversation between the New York Times’ Ezra Klein and Columbia University’s Adam Tooze. Tooze is an economic historian, whose new book challenges conventional economic thinking in ways that often closely parallel Modern Monetary Theory (MMT).

For the last quarter-century, MMT economists have emphasized that “finding the money” is never the challenge for governments that issue their own non-convertible—i.e. floating exchange rate—fiat currencies. It has long been our position that mainstream macro, which centers the limits of fiscal policy around the (erroneous) concept of a “government budget constraint,” has led us astray.

Instead of treating governments like revenue-constrained households, MMT economists have pushed for a macro framework that replaces the artificial government budget constraint with a real resource (inflation) constraint.

A central tenet of MMT is captured in the recognition that a currency-issuing government can afford to purchase whatever is available and for sale in its own currency. Before COVID, it was harder to persuade people that the government could easily afford to spend trillions without raising a slew of taxes to “pay for” it.

Full post here.