Eine neue Welle des Telefondiebstahls breitet sich aus. Anstatt Mobiltelefone direkt zu entwenden, geben sich Kriminelle als Sie aus, um brandneue Smartphones über Ihren Mobilfunkanbieter zu bestellen und Ihnen die Kosten aufzubürden. Im Folgenden erfahren Sie, wie das vor sich geht.
Was ist Konto-Hijacking?
Der klassische Diebstahl von Smartphones wird immer riskanter und weniger lukrativ. Wir gehen vorsichtiger mit unseren Telefonen um als früher, und immer mehr Smartphones – angefangen beim iPhone – bieten Verschlüsselungsfunktionen und Ortungsdienste für verlorene Geräte. Einige Kriminelle verfolgen daher eine neue Strategie. Anstatt mit gestohlenen Geräten zu hantieren und sich um Aktivierungsprobleme zu kümmern, geben sie sich als Sie aus und bestellen neue Telefone über Ihr bestehendes Konto.
Diese Betrugsmethode ist aus verschiedenen Gründen effektiv. Die Täter profitieren von allen Angeboten, die Ihr Konto zulässt, zahlen möglichst wenig im Voraus (manchmal sogar gar nichts), und Sie merken es möglicherweise erst, wenn es zu spät ist. Das Upgrade bestehender Verträge ist die auffälligere Methode, da Ihre Telefone dann nicht mehr funktionieren. Einige Kriminelle bevorzugen daher, neue Verträge hinzuzufügen. Auf diesem Weg bemerken Sie den Betrug möglicherweise erst bei der nächsten Rechnung. Und wenn Sie Ihre Telefonrechnung per Lastschrift bezahlen, entgeht es Ihnen womöglich noch länger.
In manchen Fällen geht es nicht nur um den Diebstahl von Telefonen. Kriminelle können auch Ihre Verträge aktualisieren, um Ihre Telefonnummer durch einen SIM-Tausch zu übernehmen. Ihre Nummer wird dann auf ein anderes Telefon übertragen, das sich im Besitz der Kriminellen befindet. Mit dieser Nummer können sie dann alle Konten kapern, die Ihre Telefonnummer als Wiederherstellungsoption verwenden.
Wie Kriminelle Mobilfunkkonten übernehmen
Vielleicht fragen Sie sich, wie ein Betrüger auf diese Weise mit dem Konto einer anderen Person Smartphones erwerben kann. Hier gibt es leider mehr als eine Antwort.
Manchmal stehlen die Täter Ihre Identität, erstellen einen gefälschten Ausweis mit Ihrem Namen und ihrem Foto und gehen damit in ein Geschäft, um die Telefone zu kaufen. Sie könnten denken, dass dies nur in Ihrer Nähe passieren kann, aber Lorrie Cranor, eine ehemalige Technologiechefin der FTC, hat gezeigt, dass dies nicht stimmt. Ihre Telefone wurden deaktiviert, nachdem sich jemand, der sich als sie ausgab, in einem anderen Bundesstaat ihre Verträge für neue iPhones aktualisiert hatte. Ähnliche Beschwerden finden sich auch in Foren von Mobilfunkanbietern.
Im Jahr 2017 verhaftete die Polizei in Cleveland drei Männer, die in einen Telefondiebstahl im Wert von 65.000 Dollar verwickelt waren. Dabei wurden hauptsächlich gefälschte Ausweise verwendet.
In anderen Fällen werden einfache Phishing-Methoden eingesetzt. Anfang 2019 erhielten Verizon-Kunden in Florida Anrufe wegen angeblichen Betrugs. Die Anrufer gaben sich als Mitarbeiter aus und teilten den Opfern mit, dass sie ihre Identität überprüfen müssten und dass Verizon ihnen zu diesem Zweck eine PIN zusenden würde. Diese PIN sollten sie dann der Person am Telefon mitteilen.
Doch die Person am Telefon war kein Mitarbeiter von Verizon, sondern ein Betrüger, vor dem die Opfer gerade gewarnt worden waren. Der Dieb hatte tatsächlich eine Verizon-PIN generiert, wahrscheinlich mit dem Konto-Wiederherstellungsprozess. Nachdem die Opfer die PIN erhalten und weitergegeben hatten, lieferten sie dem Kriminellen genau die Informationen, die er benötigte, um auf das Konto zuzugreifen und neue Smartphones zu bestellen. Zum Glück erkannten Verizon-Mitarbeiter weitere Warnsignale und alarmierten die Polizei, aber das ist nicht immer der Fall.
Ende 2018 wurden zwölf Personen angeklagt, die sich in die Online-Konten von Leuten gehackt, Verträge hinzugefügt oder aktualisiert und die neuen Geräte dann an andere Adressen versandt hatten. Die Täter konnten angeblich Geräte im Wert von über 1 Million Dollar beschaffen, bevor sie gefasst wurden. Sie nutzten Informationen, die sie im Dark Web aus Datenlecks erworben hatten, oder verschickten Phishing-Nachrichten, um Kontodaten zu stehlen.
Was tun, wenn Ihr Konto gehackt wird?
Wenn Sie Opfer von Konto-Hijacking werden, fühlen Sie sich möglicherweise hilflos, aber das stimmt nicht. Sie sollten nicht für Leistungen bezahlen müssen, die Sie nicht gewünscht haben, oder für Telefone, die Sie nicht erhalten haben. Nehmen Sie Stift und Papier und machen Sie sich Notizen über den Vorgang. Schreiben Sie auf, welche Unternehmen Sie angerufen haben, Datum und Uhrzeit der Anrufe und die Namen der Gesprächspartner. Notieren Sie sich, was die Mitarbeiter der Unternehmen sagen, insbesondere, wenn sie versprechen, Maßnahmen zu ergreifen oder Sie bitten, weitere Informationen oder Unterlagen zu liefern. Die FTC hat eine nützliche Checkliste zusammengestellt, die Sie befolgen können. Wir werden ebenfalls einige dieser Schritte erläutern.
Rufen Sie zuerst Ihren Mobilfunkanbieter an und erklären Sie die Situation. Fragen Sie nach einer Betrugsabteilung und lassen Sie sich dorthin verbinden. Erklären Sie den Fall und bitten Sie um Hilfe bei der Lösung des Problems. Erkundigen Sie sich genau, welche Nachweise Sie erbringen müssen, und notieren Sie sich alles. Fragen Sie auch, ob Sie Ihr Konto sperren lassen können und ob Sie eine PIN-Validierung (oder andere Sicherheitsmaßnahmen) hinzufügen können, um zu verhindern, dass jemand weitere Verträge hinzufügt.
Als nächstes setzen Sie eine Betrugswarnung bei allen Ihren Kreditauskunfteien. Sie können auch Ihre Kreditdaten einfrieren. Eine Kreditsperre sollte zwar verhindern, dass jemand in Ihrem Namen ein völlig neues Konto eröffnet, aber sie kann leider nicht den Betrug durch Vertragsupgrades oder zusätzliche Verträge verhindern. Viele Mobilfunkanbieter verzichten auf eine Bonitätsprüfung, um die Zahlungshistorie bestehender Kunden zu überprüfen. Trotzdem könnte eine Kreditsperre andere Formen von Betrug verhindern, daher lohnt sie sich.
Nach der Kreditsperre sollten Sie den Betrug bei Ihrer örtlichen Polizeidienststelle anzeigen. Rufen Sie dort an oder besuchen Sie sie und fragen Sie, wie Sie die Situation melden können. Halten Sie alle Beweismittel bereit, z. B. Rechnungen für die zusätzlichen Verträge. Erklären Sie, was passiert ist, und besorgen Sie sich eine Kopie aller Unterlagen.
Kontaktieren Sie nun erneut Ihren Mobilfunkanbieter mit allen angeforderten Unterlagen (einschließlich des Polizeiberichts) und fragen Sie, wie Sie die Gebühren, falls noch nicht geschehen, zurückerstatten lassen können.
Seien Sie darauf vorbereitet, dass dieser Prozess einige Zeit in Anspruch nehmen kann – manchmal Tage oder Wochen. Protokollieren Sie alle Kontakte und Schritte, die Sie unternehmen. Dies verhindert unnötige Wiederholungen und gibt Ihnen das Gefühl, die Kontrolle über den Prozess zu haben.
Wie Sie Konto-Hijacking verhindern
Sie können Schritte unternehmen, um ein Konto-Hijacking im Vorfeld (oder erneut) zu verhindern. Angesichts der Einfachheit von Identitätsdiebstahl besteht das Hauptziel darin, zusätzliche Hürden zu errichten. Glücklicherweise bieten die vier großen Anbieter Optionen an. Während Sprint und Verizon diese zusätzliche Sicherheit für alle Neukunden zur Voraussetzung machen, ist das bei AT&T und T-Mobile leider nicht der Fall.
Als Verizon-Kunde sollten Sie beim Einrichten Ihres Dienstes eine vierstellige PIN für Ihr Konto festgelegt haben. Wenn Sie dies nicht getan haben oder Ihre PIN vergessen haben, besuchen Sie die FAQ-Seite zur PIN und klicken Sie auf den Link „Konto-PIN ändern“. Melden Sie sich mit Ihrem Verizon-Konto an, wenn Sie dazu aufgefordert werden.
Auch Sprint verlangt eine PIN im Rahmen der Einrichtung eines Kundenkontos. Wenn Sie also bei Sprint sind, sollten Sie bereits eine haben. Sprint verlangt auch eine Sicherheitsfrage als Backup und lässt Sie aus einer Liste auswählen. Wählen Sie eine Frage, die bei einer Google-Suche nicht einfach zu finden ist. Wenn Sie Ihre PIN vergessen haben, können Sie sich bei Ihrem Online-Konto anmelden und sie im Bereich Sicherheit und Einstellungen ändern.
AT&T-Kunden müssen keine PIN festlegen, sollten es aber tun. Sie müssen sich im Online-Portal von AT&T anmelden. Suchen Sie nach zwei Optionen: einen neuen Passcode erhalten und zusätzliche Sicherheit verwalten. Sie sollten beide Prozesse durchlaufen. Die zusätzliche Sicherheitsverwaltung weist AT&T einfach an, in mehr Situationen nach Ihrem Passcode zu fragen, z. B. wenn Sie Ihr Konto in einem Geschäft verwalten.
Standardmäßig fragt T-Mobile Fragen zur Kontobestätigung, um die Identität zu überprüfen. Sie können stattdessen eine PIN einrichten, aber dies ist nur telefonisch möglich. Von einem T-Mobile-Telefon aus können Sie die 611 wählen. T-Mobile bietet zwei Optionen: eine Konto-Sicherheits-PIN und eine Port-Out-PIN. Da sie verschiedene Dinge schützen, sollten Sie vielleicht beide festlegen.
Wenn Sie einen anderen Anbieter als die vier großen Mobilfunkunternehmen nutzen, sollten Sie die Support-Website besuchen oder den Kundenservice anrufen, um herauszufinden, welche Sicherheitsoptionen Sie einrichten können und wie Sie diese hinzufügen können.
Sobald Sie Ihre PINs festgelegt haben, schadet es nicht, nach ein oder zwei Tagen noch einmal anzurufen, um zu überprüfen, ob Sie danach gefragt werden. Der Prozess ist unkompliziert und Sie werden wahrscheinlich keine Probleme haben. Die Gewissheit, alles richtig gemacht zu haben, und ein wenig Übung im Umgang mit Ihrer neuen PIN sind die investierte Zeit wert – insbesondere wenn Sie feststellen, dass etwas schiefgelaufen ist und Ihr Mobilfunkanbieter Ihre PIN nicht korrekt festgelegt hat.