Du rufst Deine Mails ab, denkst an nichts böses, und hast plötzlich eine Einkaufsbestätigung von Click and Buy im Postfach. Über 80 Euro, für eine App. Obwohl Du die letzten zwei Tage gar keine App gekauft hast, und schon gar nicht für so viel Geld!
Solche Fälle kommen vor. Es scheint, als ob sich Betrüger in den letzten Monaten im deutschsprachigen Raum gehäuft über iTunes-Konten am Geldbeutel unschuldiger Musik- und Softwarekäufer bedienen. Wir haben uns einen Fall schildern lassen und Apple auf die Problematik angesprochen.
Anzeige
Vor ein paar Wochen erhält Annelie (alle Namen geändert) zwei Mails von ClickandBuy mit fast gleichlautendem Text:
Ihr ClickandBuy Account wurde mit folgender Transaktion belastet: Anbieter: Apple iTunes Store Datum: 09.08.2011 Betrag: EUR 79,99 Diese Ausgaben werden wir bei Ihrer nächsten ClickandBuy Abrechnung berücksichtigen.
Anzeige
Zwei Mails, für zwei Einkäufe zu je 79,99 Euro. Der Finanzdienstleister bucht folglich 159,98 Euro ab.
Ein Blick in die Einkausstatistik im Apple-Account verrät: Der Betrag wird jeweils für einen In-App-Kauf der App Texas Poker berechnet.
Anzeige
Besonders erschreckend: Annelie hat sich niemals diese App geladen. Es kann also nicht nur Käufer der App Texas Poker erwischen, sondern jeden Nutzer mit Apple-ID. Also jeden, der schon mal im iTunes-Store, App Store oder Mac App Store eingekauft hat.
Ein Blick in verschiedene Online-Foren zeigt: es hat auch schon einige erwischt.
Kurz nach den Einkaufsbestätigungen von ClickandBuy erhält Annelie eine Mitteilung von Apple:
Ihre Apple-ID wurde gerade verwendet, um einen Kauf in der App Texas Poker im App Store auf einem Computer oder Gerät zu tätigen, der/das noch nie zuvor mit dieser Apple-ID verknüpft war.
Diese automatisierte Standardnachricht dient als Kontrolle, um fremde Abbuchungen schneller zu erkennen. Sollte ein Missbrauch vorliegen, empfiehlt Apple in dem Schreiben, das Passwort zu ändern,
Anzeige
Das macht Annelie sofort. Sie ist im Umgang mit IT recht versiert und sicherheitsbewusst. „Kommt eine Mail von einer Bank oder Behörde, verwenden wir die gespeicherten Lesezeichen und eben nicht die Links innerhalb der Mail“, erklärt uns ihr Mann Peter. Es ist eine sinnvolle Methode, um kein Pishing-Opfer zu werden.
Den fremden Einkauf über die App Texas Poker hätte wahrscheinlich nur eine häufige Änderung des Passworts verhindert. Den Zugang haben Annelie und Peter zwei Jahre lang nicht geändert – „man hat ja auch anderes zu tun, als ständig seine Passwörter zu ändern ;-)“ so Peter.
Da kann sich fast jeder unserer Leser an die eigene Nase fassen. Laut einer Studie des Bundesverbands Informationswirtschaft, Telekommunikation und neue Medien e.V. ändern nur 17 Prozent der Bundesbürger ihre Passwörter wenigstens einmal im Quartal.
Anzeige
Das gewählte Passwort war bei unseren beiden Opfern übrigens vorbildlich: mehr als 15 Zeichen, Groß- und Kleinbuchstaben, Sonderzeichen und Zahlen waren enthalten.
Das hilft aber alles nichts, wenn die Accountdaten bei den Kontobetreibern gestohlen werden oder irgendwo ausgelesen werden. Im Januar dieses Jahres wurden angeblich Daten zu 50.000 iTunes-Konen in China verkauft – und zwar ganz einfach in einem großen Online-Shop! Vielleicht war ja das von Annelie dabei.
Dass wohl kein Online-Account so richtig sicher ist, das dürfte mittlerweile jedem klar sein. Egal von welchem Betreiber. Im Frühjahr wurde ein Hacker-Angriff auf Nutzerdaten von Playstation-Spielern für Sony zum großen Problem.
Was sagt Apple uns gegenüber zu dem Thema?
Wir arbeiten stetig an der Verbesserung der Sicherheit der iTunes-Accounts. Wenn Ihre Kredit-Karte oder iTunes-Kennwort gestohlen wurde und in iTunes verwendet wird, kontaktieren Sie bitte Ihr Finanzinstitut bezüglich dieses unautorisierten Einkaufs und ändern Sie bitte umgehend Ihr Kennwort. Weitere Information zum Schutz Ihres iTunes-Accounts finden Sie unter http://www.apple.com/de/support/itunes/.
Die App Texas Poker aus dem App Store zu löschen, würde wahrscheinlich nicht viel helfen. Dann suchen sich die Betrüger eine neue Anwendung für die Abbuchungen. Vielleicht landete Texas Pokerin zwei Versionen aufgrund der Betrügereien so weit oben in den Charts der umsatzsstärksten Apps...
Nach dem Vorfall entfernen Peter und Annelie die Kontodaten aus dem iTuntes-Account. Zudem informieren sie Apple und ClickandBuy und bitten um Stornierung. Eine Strafanzeige halten die beiden für wenig erfolgreich. „An die Hintermänner kommt man mit der Anzeige sowieso nicht ran“, glaubt Peter.
Nach einigen Tagen meldet sich ein Mitarbeiter des Computerherstellers:
Es tut mir sehr leid, dass jemand unberechtigte Einkäufe auf Ihrem iTunes Account getätigt hat. Sie müssen sehr verunsichert sein. Um weitere Einkäufe zu verhindern, habe ich Ihren Account deaktiviert. Bitte beachten Sie, dass Ihr iTunes Store Account wieder aktiviert werden kann, indem Sie bestimmte Angaben an den iTunes Store Kundendienst senden. Ich empfehle Ihnen dringend, sich direkt an Ihre Bank bzw. Ihren Kartenaussteller zu wenden, um die nicht genehmigten Buchungen, die mit der Zahlungsmethode, die Sie in Ihrem ClickandBuy-Account verwenden, getätigt wurden, zu melden. Unter den gegebenen Umständen kann der iTunes Store den Betrag für diese Einkäufe leider nicht zurückbuchen. Ihre Bank oder Ihr Kartenaussteller muss zunächst eine Rückerstattungsanfrage stellen.
Im Anschluss startete ein Hin- und Her zwischen Apple, ClickandBuy und den Opfern. Eine Erstattung in solchen Betrugsfällen läuft nur, wenn ClickandBuy die Beträge an Apple zurückbucht. Apple selbst will offensichtlich nicht einspringen.
Annelie und Peter telefonieren hartnäckig, bis ClickandBuy schreibt: „Ihre Zahlung wurde am 15.08.2011 storniert. Falls der Betrag bereits bezahlt wurde, wird er Ihrem ClickandBuy-Konto gutgeschrieben.“
Dies ist mittlerweile geschehen. Die beiden kommen mit einem blauen Auge davon.
Die Gefahr, selbst Opfer von unberechtigten Abbuchungen zu werden, kann jeder mindern. Wir haben in einem eigenen Beitrag die wichtigsten Tipps zum Schutz des iTunes-Kontos zusammengestellt.