CSI Marketing Factory

Der ominöse Wish-Scam: Eine Aufgabe für den MFC-Detektiv

Zu unseren Aufgaben gehört es, hin und wieder für unsere Kunden zunächst nicht alltägliche Vorfälle auf den Webapplikationen zu analysieren. Meistens handelt es sich dabei um einen Fehler des Endkundens – aka Fehler 40. In seltenen, aber dafür auch umso spannenderen Fällen finden wir bei solchen Analysen aber auch echte Krimis. Wie ein Detektiv tauchen wir dann immer tiefer in die Materie ein und finden dabei mehr und mehr Details.
Wie zum Beispiel erst vor kurzem eine ominöse Betrugsmasche bei Wish und anderen fraglichen Plattformen… Ein Fall für den MFC-Detektiv!

Der Fall: Wenn man plötzlich für die Bestellung eines Fremden bezahlt..

Einer unserer Kunden berichtete plötzlich von relativ vielen Bestellungen, bei denen via Lastschrift bezahlt, die Ware geliefert wird und danach die Lastschrift zurück gebucht wird, weil der eigentliche Kundenkontoinhaber die Bestellung nicht getätigt hat. Besonders spannend: Der Kontoinhaber ist dabei nicht etwa der Empfänger der Ware sondern eine fremde Drittperson.

Spannend, schauen wir mal weiter…

Wir haben uns also daraufhin sowohl ein paar der betroffenen Transaktionen angeschaut, als auch die Reaktionen derer Kunden, die mit der Rücklastschrift konfrontiert wurden. Diese waren wie zu erwarten nicht sonderlich positiv..

Versuch der Reproduktion

Um zu prüfen, ob dieses Verhalten immer bei derartigen Käufen auf diesen Plattformen reproduziert werden kann, habe Ich zunächst einfach selber einen Testkauf auf wish.com getätigt, um zu sehen, was als nächstes passiert. Und nach ein paar Stunden, passierte bei meinem Kauf just dasselbe, wie bei den anderen Kunden auch.

Wie die Masche funktioniert

Der Betrüger legt bei dem Marktplatz ein Konto als Verkäufer an. Gerne werden dabei Marktplätze genutzt, die bei der Prüfung der Verkäufer nicht so genau hinschauen oder es werden Verkäufer-Adressen genutzt, die zumindest für mich nicht verifizierbar sind, wie z.B.: 楼1单元802室 安庆市, 安徽省 Festland China (CN), 543471

Der Verkäufer legt anschließend einen Artikel auf dem Marktplatz an und kopiert dann Teile der Produktbeschreibung des Original-Shops inkl. dessen Bilder in sein Angebot. Bei dem Produktnamen werden dann teilweise noch weitere Marken ergänzt, damit das Angebot auch wirklich oft gefunden wird. Dieses Keyword-Bingo kennt man auch von anderen Plattformen wie Amazon, die mit Produkten wie “Quick Mealprep Tupperware Container Healthy Food Sustainability Eco Glass Container” werben. Als Preis wird vom Anbieter immer ein relativ niedriger Preis im Gegensatz zum Original-Angebot gesetzt, um Schnäppchenjäger anzulocken, die auf den großen Deal hoffen.

Ein gutgläubiger Käufer findet nun das vermeintliche Schnäppchen, bestellt und bezahlt auf dem Marktplatz – In meinem Fall mit Kreditkarte. Der Marktplatz versendet dann eine Bestellbestätigung und der Verkäufer erhält die Aufforderung zum Versand des Artikels.

Der Verkäufer selbst bestellt nun den Artikel im echten Shop; im Namen und mit der Lieferadresse des gutgläubigen Kundens – die E-Mail-Adresse ist aber die des Betrügers. Als Zahlungsmethode wird dann Abbuchung gewählt und dabei eine Kontoverbindung eines externen, unbekannten Dritten gewählt. Bei unseren Analysen haben die Betrüger, trotz chinesischer Adresse – mit einer deutschen IP-Adresse bestellt.

Für den originalen Shop sieht die Bestellung wie eine ordnungsgemäße Bestellung aus: Die Ware wird an den Kunden versendet, die Tracking-Nummer wird an den Betrüger per Mail versendet und nach dem Versand wird die Abbuchung initiiert.

Der Betrüger gibt nun die echte Tracking-Nummer im Backend des Marktplatzes ein, der Marktplatz trackt das Paket und stellt fest, dass dieses ausgeliefert worden ist und zahlt den Betrüger aus.

Der Kunde erhält die Ware, die Transaktion wird vom Marktplatz abgewickelt und das Geld wird an den Marktplatz übertragen (in meinem Fall die Kreditkartenzahlung). Für den gutgläubigen Kunden ist das eine ganz normale Bestellung, ja sogar eine Bestätigung, dass man auf diversen Marktplätzen richtige Schnäppchen ergattern kann.

Der Shop zieht das Geld ein und erhält danach eine Rücklastschrift. Der Kunde hat dann bereits seine Ware und oft der Betrüger auch schon sein Geld. In der Regel wird der Betrug dann so spät bemerkt, dass eine Strafverfolgung auch nicht mehr möglich ist. Die Zuordnung der IP-Adresse zum Kunden ist dann bereits beim Provider gelöscht. Der Shop bleibt auf seinen Kosten (inkl. Rücklastschrift) sitzen.

Der ausländische Marktplatz bekommt von all dem nicht wirklich was mit und kassiert nur seine Provision. Die Transaktion wurde scheinbar ordnungsgemäß abgewickelt und die Ware ist beim Kunden angekommen.

Wie kann man sich nun vor einer solchen Masche schützen?

Auf den ersten Blick ist eine solche Bestellung im Shop nicht von anderen, ordnungsgemäßen Bestellungen zu unterscheiden. Da technisch kein Abgleich zwischen Kontonummer und Kontoinhaber stattfindet, scheidet die falsche Kontonummer als Indikator aus.

Eine mögliche Lösungen ist, das Erlauben von Lastschrift nur für registrierte Kunden nach einem Login. Damit würde man allerdings Neukunden eine attraktive Zahlart vorenthalten, was sich wiederum negativ auf die Neukundenquote auswirkt. Hier müssen die Shopbetreiber mit einem spitzen Bleistift rechnen, was das kleinere Übel ist.

Fall erledigt?

Klares: Jein. Wir konnten zwar herausfinden, wie die Masche funktioniert und auch nachstellen, dass die Masche immer gleich abzulaufen scheint, aber einen Riegel vor derartige Betrugsversuche konnten wir leider nicht schieben. Inwieweit man nämlich dem ausländischen Marktplatz Beihilfe zum Betrug unterstellen kann, mögen die Anwälte entscheiden. Jedenfalls halte Ich es für schwer einen Nicht-EU-Marktplatz mit einem sinnvollen rechtlichen Aufwand zur Verantwortung zu ziehen.

Wenn Ihr ähnliche Fälle in Euren Shops habt oder sogar eine gute Lösung, diese Betrugsfälle zu unterbinden, freuen wir uns über Kommentare. Wir freuen uns auf einen regen Austausch!

Bildquellen

Über Ingo Schmitt

Spricht Typoscript, php, und sql. Perl und bash verhandlungssicher.Besitzt java Grundkenntnisse.
Ist als CTO in der Geschäftsleitung zuständig für Entwicklung und Betrieb und bloggt hier über alles was technisch interessant ist.

Homepage: http://www.marketing-factory.de

      Profile:
    • googleplus
    • linkedin
    • skype
    • twitter

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.