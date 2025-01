„Wer wurde schon mal im Internet betrogen?“, fragt Journalist Kai Biermann. Erschreckend viele Hände heben sich. Erschreckend, weil im Publikum beim Kongress des Chaos Computer Clubs (CCC) in Hamburg, dem größten Treffen von Ha­cke­r*in­nen weltweit, vor allem digitalaffine Menschen sitzen. Müssten sie es nicht besser wissen, sich auskennen? Klar! Tun sie auch. Aber: Vor Betrug im Internet ist eben niemand sicher. Das liegt an der Industrialisierung von Fakeshops. Immer wieder betont Biermann genau das: „Wenn euch so etwas passiert: Ihr seid nicht schuld!“ Schuld sei die organisierte Kriminalität. Biermann schreibt für Zeit online und hat gemeinsam mit Kol­le­g*in­nen von Le Monde und Guardian mit den Daten gearbeitet, die ihnen der andere Mann auf der Bühne und sein Arbeitgeber gegeben haben: Matthias Marx vom Sicherheitsdienstleister Security Research Labs (SRLabs).

Schon im Mai deckten diese Medien und SRLabs auf: BogusBazaar betreibt mutmaßlich aus China heraus Zehntausende Fake-Shops. 76.000 Shops konnten sie damals finden, einige von ihnen schon wieder inaktiv und verlassen, doch über 22.000 waren damals noch in Benutzung. Ende Dezember, waren noch immer etwa 9.500 erreichbar. Detailliert zeichnet Marx beim Vortrag nach, wie er auf das Netz auf Shops gestoßen ist, gibt praktisch eine Anleitung, wie die Anwesenden in Zukunft selbst auf derlei Netze aufmerksam werden können.

Er selbst hat sich den Code von mehreren unterschiedlichen Fake-Läden anschaute und feststellte, welche Gemeinsamkeiten sie aufwiesen. Eine Sicherheitslücke ermöglichte ihm Zugriff auf die Daten von 76.000 Domains und auf die Infrastruktur hinter dem Betrug – inklusive Arbeitsverträge, Gehaltstabellen, Angaben über Boni für Führungskräfte. So viele erfolgreiche Fake-Shops zu betreiben, ist wohl verdammt viel Arbeit.

Die Webshops müssen gepflegt werden, auch um besonders gut bei Google abzuschneiden. Denn dort suchen Menschen, so Marx, häufig nach bestimmten Kleidungsstücken von bestimmten Marken. Viele Kon­su­men­t*in­nen wissen bereits, welches Modell von Nike sie gerne an ihren Füßen hätten, welche Jacke von Lacoste gerne um die Schultern. Bei der Bildersuche von Google ist gleich ersichtlich, ob man wirklich zum richtigen Produkt gelangt, wenn man klickt. Nur leider nicht, ob es auch wirklich ein richtiger Shop ist.

Man solle „bei absurd günstigen Preisen lieber vorsichtig sein“, riet die Verbraucherzentrale Brandenburg e.V. der taz im November, als besonders viele Menschen auf gefakte Black-Friday-Schnäppchen reinfielen. Das Problem, das Marx und Biermann schildern, ist jedoch: Die Rabatte, mit denen die Fake-Shops werben sind nicht mehr hanebüchen, sondern im Rahmen vorstellbarer Aktionen. Hier mal 10 Prozent, da mal 20 Prozent. Nichts besonders auffälliges. Vor allem, weil wir die neuen Sneaker fast schon an den Füßen spüren.

Informationen verkauft

Das ganze funktioniert so gut, dass im Mai 2024 geschätzt wurde, dass bereits 800.000 Menschen auf Shops von BogusBazaar reingefallen sind, überwiegend in den USA und in Europa. Sie teilten ihre Adressen, Mail-Adressen, ihre Namen, Telefonnummern und über 476.000 von ihnen auch ihre Kreditkarten-Informationen. Was sie nicht bekamen: die bestellte Ware. Bei Betrügen dieser Art wird sie entweder gar nicht geliefert oder hat eine sehr viel schlechtere Qualität. Dafür werden aber die Kreditkarteninformationen teilweise weiterverkauft und genutzt, um Geld abzubuchen – am Anfang häufig kleinere Summen im einstelligen Bereich, die kaum auffallen.

Das Bestellvolumen durch BogusBazaar beläuft sich laut SRLabs auf 50 Millionen Dollar innerhalb der letzten drei Jahre. Wie viel Geld davon tatsächlich überwiesen wurden, ist nicht nachvollziehbar.

Das Design der Shops ist gut kopiert. Die Adressen sind inzwischen häufig nicht mehr direkt auffällig. Aber manche Tools helfen dabei herauszufinden, welcher Seite man wirklich vertrauen kann, wie etwa den Fakeshop-Finder der Verbraucherzentrale. An den haben Marx und Biermann ihre Daten zu BogusBazaar auch gespendet. Auch Google wollten sie laut Marx die Daten geben, gerne als ganzes Paket. Denn über deren Suche kommen ja viele Menschen auf die Fakeshops. Allerdings konnte Marx dort nicht das ganze Paket abliefern. Zehntausende Male eine Domain in ein Formular eintippen und losschicken? Das war für ihn keine Option. Auf eine taz-Anfrage, warum eine Abgabe von allen Domains gesammelt nicht möglich war, reagierte Google bis Redaktionsschluss nicht. Dabei könnte der Konzern hier wirklich etwas verändern.