Die Verbraucherzentrale NRW registriert zahlreiche Beschwerden. Foto: VZ NRW/adpic
Die Verbraucherzentrale NRW registriert zahlreiche Beschwerden. Foto: VZ NRW/adpic

Düsseldorf. Eine Kamera für 60 Euro hatte der Verkäufer auf dem Portal „Kleinanzeigen” angeboten. Er hatte den Käuferschutz aktiviert und nur über die Plattform kommuniziert – also eigentlich alles richtig gemacht. Doch der potentielle Käufer schickte, als man handelseinig war, per Chat einen Screenshot mit einem QR-Code, angeblich um den Zahlungseingang über PayPal zu bestätigen.


Es handelte sich um einen Trick: Der Verkäufer scannte den Code und wurde zur Anmeldung in seinem PayPal-Konto aufgefordert. Kurz darauf waren 2.970 Euro weg, abgebucht über die PayPal-Option „Freunde & Familie“, wie die Verbraucherzentrale NRW berichtet.

In einem ähnlichen Fall verlor eine Krankenschwester 7.000 Euro – der zugeschickte QR-Code war vorgeblich für „sicheres Bezahlen“. „Das sind zwei von zahlreichen Fällen, die Menschen uns melden“, sagt Ralf Scherfling, Phishing-Experte der Verbraucherzentrale NRW. Er erklärt, welche rechtlichen Schritte man unternehmen kann und wie man das Betrugsrisiko minimiert.

“Wer auf Plattformen für Privatverkäufe wie Kleinanzeigen, Vinted oder Markt.de etwas verkauft oder kauft, sollte sich an die Empfehlung halten, alles komplett auf der Plattform abzuwickeln und sich an die üblichen Abläufe zu halten”, so die Verbraucherschützer. “Wer sich auf private Mails oder alternative Zahlungsoptionen einlässt, trägt ein hohes Risiko. Deshalb sollte man auch keine QR-Codes oder Links öffnen, etwa um angeblich eingegangene Zahlungen zu akzeptieren. Denn QR-Codes sind genauso wie Links in Mails eine potentielle Gefahrenquelle und können auf betrügerische Seiten führen. Wer unerwartet dazu aufgefordert wird, einen QR-Code zu scannen, sollte das Geschäft abbrechen”.

Gleiches gilt, wenn man nach den PayPal- oder Kreditkartendaten gefragt wird. Diese sind für den Empfang von Zahlungen bei der Abwicklung über die Verkaufsplattform nicht notwendig. Generell sollte das Geld für eine Ware ohne eine zusätzliche Bestätigung überwiesen werden.

Bei privaten Onlinekäufen gibt es viele verschiedene potentielle Betrugsfallen. Aktuell sind zwei besonders verbreitet: Zum einen besteht ein Sicherheitsrisiko beim Verzicht auf den Käuferschutz und privater Zahlungsabwicklung, obwohl man auf der echten Verkaufs-Seite bleibt. Das andere Risiko entsteht, wenn man etwa durch einen QR-Code auf einer gefälschten Seite landet, so wie im oben genannten Beispiel.

Betrüger schicken Bildschirmfotos mit QR-Codes oder Zahlungsbestätigungen oder leiten ihre potentiellen Opfer direkt auf andere Plattformen wie PayPal oder in einen privaten Mail- oder Chataustausch, um dort Zugangsdaten abzugreifen. Weil die hinterlegte Option „Sicher bezahlen“ einen Aufpreis beinhaltet, wählen viele Interessenten Zahlungswege ohne Aufpreis. Das geht aber zu Lasten der Sicherheit. Auf solche Aufforderungen sollte man nicht eingehen. Grundsätzlich sollte man darauf achten, dass das eigene Smartphone einen QR-Code erst anzeigt, anstatt die Aktion sofort auszuführen, so dass man ihn überprüfen kann.

Zudem ist ein genauer Blick auf die dann angezeigte Internetadresse (URL) ratsam. Eine nachgebaute Website als Betrug zu erkennen, ist für technische Laien nicht einfach, da der präsentierte Link und die Seite selbst dem Original sehr gut nachempfunden sind, etwa in der typischen Farbe und mit dem Logo versehen. Doch mit einem wachsamen Auge auf die Schreibweise des Links kann man sich davor schützen, Opfer von Cyberkriminellen zu werden.

Was ist im Betrugsfall zu tun?

Betroffene sollten auf jeden Fall Anzeige erstatten und das Betrugsprofil bei dem Verkaufsportal melden. Wenn bereits Geld unrechtmäßig abgebucht wurde, sollte man das Bankkonto sperren, um weitere Schäden zu verhindern. Ganz wichtig ist es, die Zugangsdaten wie Passwort und Sicherheitsfragen für die Plattform sofort zu ändern. Zudem sollte man die Bank fragen, ob und wenn ja unter welchen Umständen eine unrechtmäßig gesendete Zahlung rückgängig gemacht werden kann. Screenshots der betrügerischen Transaktionen können hilfreich sein.