Strafanzeige gegen Fa. Vinted.de wegen versuchtem Phishing

Staatsanwaltschaft München I
Linprunstraße 25
80097 München

cc BMJV

04. Okt. 2021

Ich erstatte Strafanzeige gegen die Firma

Vinted UAB, Švitrigailos Str. 13, LT-03228 Vilnius, Republik Litauen
Email: dpo@vinted.lt

wegen Verstosses gegen § 269 StGB, Stichwort ‘Phishing’, Verstoss gegen das DSGVO sowie § 242 BGB.

Begründung

Ich bin seit zwei oder mehr Jahren Mitglied bei der Kleider-Secondhand Plattform “vinted.de”, früher “Kleiderkreisel”. Das Login erfolgt über 2-Faktor-Authorisierung (2FA) mit Smartphone. Diese Telefonnummer ist in Deutschland identifiziert. Zwei mal hatte ich gebeten, die 2FA optional zu machen, denn bei mir ist sie Overkill.

Am 14. Sept. 2021 er hielt ich eine Email von vinted@vinted.de (siehe S. 4):

“… wir haben leider verdächtige Aktivitäten in deinem Account festgestellt. Es wurde nämlich versucht, sich in deinen Vinted-Account von einem neuen Gerät oder von einem ungewöhnlichen Ort aus anzumelden. Dabei hat man deine Anmeldedaten verwendet. Es ist deswegen möglich, dass Dritte Zugriff auf deinen Account hatten.
Damit dir kein Schaden entsteht, wurde dein Account gesperrt.”

Sodann werden Identifizierungsmöglichkeiten angeboten.

  • Screenshot von einem Kontoauszug schicken, auf dem eine beliebige Transaktion, die du auf unserer Plattform ausgeführt hast, zu sehen ist. Auf dem Screenshot sollten der Inhaber der Kreditkarte und der Betrag der Überweisung sichtbar sein.
  • Du kannst beweisen, dass die in unserem System gespeicherte Adresse tatsächlich dir gehört. Schick uns einfach eine nicht mehr als 3 Monate alte Haushaltsrechnung, auf der dein Name und die aktuelle Adresse stehen (z.B. Gas-, Strom-, Wasser-, Festnetz- und nicht Mobilfunk-Rechnung), oder ein Foto/ einen Screenshot deines Kontoauszugs, auf dem deine Adresse zu sehen ist.
  • Du kannst uns ein Foto von deiner Kreditkarte zukommen lassen, die du für Einkäufe auf Vinted verwendet hast. Auf dem Foto sollten die letzten 4 Ziffern der Kartennummer sowie das Ablaufdatum zu sehen sein.

Ich teilte mit, VPN zu benutzen und damit ändere sich mein “Standort” täglich. Dies war vergeblich. Ein anderes Gerät zu benutzen ist nicht aussergewöhnlich. Es befinden sich in dem Account auch keine Daten zur Bankverbindung etc., sondern lediglich der Benutzername, die Emailadresse und Tel. Nr. Ausserdem benutze ich nicht das systemeigene Zahlungssystem. Wieso verlangt Vinted dann z.B. einen “Screenshot von einem Kontoauszug schicken, auf dem eine beliebige Transaktion, die du auf unserer Plattform ausgeführt hast, zu sehen ist. Auf dem Screenshot sollten der Inhaber der Kreditkarte und der Betrag der Überweisung sichtbar sein”?

Völlig amüsant wird Vinted dann selber in seinem Hilfe Center, wenn dort auf Seite 2 (siehe angehängtes PDF “Betrügerische Nachrichten und Phishing-Versuche erkennen”) gewarnt wird:

In einer Fake-Nachricht auf Vinted könntest du nach folgenden Angaben gefragt werden:

  • Login-Daten und Informationen zum Zahlungs-Account oder zu anderen Services, die du beim Kaufen und Verkaufen auf Vinted nutzt
  • E-Mail-Adresse, Telefonnummer, Bankkarten-Details, Bilder deines Personalausweises und ähnliche Informationen

Derartige Forderungen kenne ich von keinem Email Provider oder Amazon. Letzte Option ist eigentlich immer ein zugesandter Brief mit einem Code zum Eingeben. Google fragt z.B. “ Es ist von dem Gerät xyz einglogged worden. Waren das Sie oder nicht?” Weiter heisst es bei Google:

Der Schutz ist dennoch gegeben, da die Bestätigung in zwei Schritten weiterhin aktiviert ist, wenn Sie oder andere Nutzer versuchen, sich auf einem anderen Computer in Ihrem Konto anzumelden.

Mein Gang zur BMJV Website des Ministeriums, wo es heisst “Willkommen auf der Website des Bundesministeriums der Justiz und für Verbraucherschutz. Modernes Recht und starker Verbraucherschutz” erlaubte mir die Bekanntschaft mit einer Dame, die sich Fachberaterin für Verbraucherfragen nennt. Die Stärke des Verbraucherschutzes war verblüffend, die diese Fachberaterin servierte. Ich hatte geschrieben:

Guten Tag,

Ich erhielt folgende Mitteilung von Vinted. Ich erklärte Vinted klar, dass ich VPN benutze, d.h. der “Standort” ändert sich täglich. Die von Vinted gestellte Forderung der Authentifizierung widerspricht m.E. klar dem GDPR. Ausserdem gibt es so etwas niemals bei Amazon oder Google.

Hinzu kommt, dass ich seit Monaten nichts ver- oder gekauft habe über Vinted. Ich war bei Vinted eingeloggt, um Anzüge zu verfolgen. Das ist mein ganzes Engagement dort seit Monaten.

Als Antwort erhielt ich eine Email-Konserve, die völlig an der Sache vorbei ging. Das las sich so:

vielen Dank für Ihre Mitteilung.

Bei der von Ihnen beschriebenen Email handelt es sich möglicherweise um Spam.
Diese können Sie getrost löschen und ignorieren.

Leider sind uns Emails dieser Art bereits aus unserem Beratungsalltag bekannt. Leider erleben sie in der Corona Situation ebenfalls ein neues Revival.

Im Netz kursieren zuhauf Abzockmails, es handelt sich um Internetkriminalität. Die Absenderdaten sind jedes Mal andere. Dateien im Anhang werden von vielen Virenschutzprogrammen als Trojaner erkannt.

Was können Sie in solchen Fällen tun?

1. Löschen Sie die SMS und unternehmen Sie einfach nichts weiter, wenn Ihnen die Absender nicht bekannt sind.

2. Eine Antwort ist kontraproduktiv. Dies bestätigt nur, dass Ihre Handynummer wirklich existiert und Sie sich ggf. verunsichern lassen, was zu mehr Spam-Mails führen kann. Generell ist auch eine Anzeige bei der Staatsanwaltschaft möglich, allerdings sind die Aussichten auf Erfolg hier verschwindend gering.

3. Nutzen Sie immer ein zuverlässiges Virenschutzprogramm. Dieses sollte regelmäßig aktualisiert werden (Updatefunktion). Schließlich sollten Sie niemals Anhänge von unbekannten Absendern öffnen oder Links betätigen und Zugangsdaten eingeben. Auch bei merkwürdigen oder unerwarteten Anhängen von Bekannten ist Vorsicht geboten – kleine Schad-Programme können über das Öffnen von Mailanhängen in einen Computer gelangen und sich dann selbst an Kontakte im Adressbuch weiterversenden.

4. Geben Sie Acht, wem Sie Ihre E-Mail-Adresse weitergeben, und widersprechen Sie stets, dass diese zu Werbe- oder Marketingzwecken verwendet wird. Sie kann sonst – zum Teil leider auch legal – über einen Tauschmarkt bzw. Adresshandel weitergegeben werden.
Wirksame Maßnahmen gegen Spams oder Phishing-Mails gibt es leider nicht, schon deshalb, weil die Absender kaum zu eruieren sind und damit ein Vorgehen nicht möglich ist. Daher bringt auch eine Meldung beim BKA/LKA leider nichts.

Die Lösung des Problems liegt ausschließlich im technischen Bereich, d.h. es müssen gute Spamfilter installiert werden. Unbekannten gegenüber dürfen keine persönlichen Angaben gemacht werden, insbesondere ist Vorsicht geboten, wenn nach den Bankdaten gefragt wird.
Man sollte auch möglichst immer vermeiden, Anhänge zu öffnen.

Mit freundlichen Grüßen
i. A. Esther Jontofsohn-Birnbaum
Fachberaterin für Verbraucherfragen

Als ich nachhakte, erhielt ich die Mitteilung, man werde sich “gegebenenfalls” wieder melden. Für so etwas werden im Land mit der Frauen Quote Mitarbeiter tatsächlich remuneriert??

Auffallend ist die nahezu ausnahmslos schlechte Bewertung von Vinted auf Seiten wie Trustpilot und anderen.

Darf ich Sie bitten, dieser Sache nachzugehen.

Herzlichen Dank

(signed)


Externer Anhang PDF “Betrügerische Nachrichten und Phishing-Versuche erkennen”