Aus aktuellem Anlass möchten wir vor einer bösen Betrugsmasche warnen, die im Zuge der Thomas Cook Insolvenz betroffene Urlauber adressiert. Mit einer gefälschten Email, die als offizielle Nachricht des Reiseveranstalters aus Oberursel getarnt ist und Kunden angeblich eine schnelle Rückerstattung des Reisepreises ermöglicht, haben es Kriminelle dabei auf höchst sensible Daten abgesehen. Es ist höchste Vorsicht geboten. Die Nachricht vom 27.09.2019 mit dem Betreff Wichtig: Erstattung Ihrer Thomas Cook Reise ging auf einem privaten Mailpostfach ein:
Bevor wir uns die Email im Detail anschauen, möchten wir die deutliche Warnung aussprechen: Es handelt sich um eine Fälschung. Bitte reagieren Sie auf keinen Fall auf diese Nachricht und versenden niemals sensible persönliche Dokumente wie Ausweis-Kopien oder gar Kreditkartendaten in einer Email. Klicken Sie nicht den Link an!
Dubiose Email von Thomas Cook? Vorsicht, Fälschung!
Konkret wird unter dem Vorwand einer Erstattung zum Zwecke einer angeblichen Verifizierung (Schreibweise in der Mail englisch: verification) nach einer Kopie des Personalausweises oder Reisepasses (Schreibweise in der Mail: ID Reisepass) gefragt, zudem die Übermittlung der vollständigen Kreditkartendaten einschließlich der rückseitigen Kartenprüfnummer verlangt. Mit dieser Kombination könnten Kriminelle nicht nur ungehindert Transaktionen in Ihrem Namen vornehmen, sondern möglicherweise teure Abonnements und Verträge abschließen.
Vor einem ähnlichem Vorgehen – jedoch per Telefonanruf – in englischer Sprache warnt auch das britische Kreditkartenunternehmen Curve in einer Kundenmitteilung vom Freitag:
„We have recently been made aware of a possible fraudulent scam involving Thomas Cook. Fraudsters are pretending to be Thomas Cook staff and are calling members of the public. They’re asking for bank/card details pretending to issue refunds with the aim of carrying out fraudulent activity. Please do not give out your details over the phone.“ Demnach versuchen auch in Großbritannien Kriminelle an Konto- oder Kreditkartendaten zu gelangen, in dem sie sich als Mitarbeiter von Thomas Cook ausgeben.
Auch in diesem Fall handelt es sich um einen Betrugsversuch, bei dem Erstattungen der gebuchten Urlaubsreisen in Aussicht gestellt werden. Das Unternehmen empfiehlt, den Anruf zu beenden und keine persönlichen Daten per Telefon preiszugeben. Wir können nicht ausschließen, dass es in den nächsten Wochen zu weiteren oder leicht abgewandelten Betrugsmaschen kommen könnte. Fakt ist: Aus insolvenzrechtlichen Gründen ist es ausgeschlossen, dass Thomas Cook gegenwärtig tatsächlich betroffene Kunden kontaktiert, um Rückerstattungen zu leisten.
Betrugsmasche trifft den Nerv vieler Thomas Cook-Kunden
Die Kriminellen treffen mit ihrer Masche vermutlich bei vielen Urlaubern einen wunden Punkt, denn Stand jetzt wissen zehntausende Betroffene nicht verlässlich, ob und in welcher Höhe sie jemals ihren bezahlten Reisepreis zurückerhalten werden. Thomas Cook sowie die ebenfalls von der Insolvenz betroffenen Schwester- und Tochterunternehmen verweisen mittlerweile zum weiteren Vorgehen an den vom Kundengeldabsicherer Zurich Insurance plc beauftragten Dienstleister KAERA. Doch dort ist laut Medienberichten vor allem telefonisch kein Durchkommen.
Eindeutig scheint bisher nur, dass Kunden mit gebuchten Einzelleistungen (z.B. Nur Hotel) vermutlich gänzlich leer ausgehen. Dabei ist die Rechtslage selbst bei den eigentlich per Sicherungsschein geschützten Pauschalreisenden nicht eindeutig geklärt. Denn gemäß § 651r BGB kann der Versicherer die von ihm in einem Geschäftsjahr insgesamt zu erstattenden Beträge auf 110 Millionen Euro begrenzen. Und genau dies hat die Zurich Versicherung wohl vorliegend getan. Experten sind sich mittlerweile sicher, dass dieser Deckungsbetrag den anfallenden Schaden aller Betroffenen nicht annähernd abdecken wird.
Übersteigen die in einem Geschäftsjahr von einem Kundengeldabsicherer insgesamt zu erstattenden Beträge die 110 Millionen, so verringern sich die einzelnen Erstattungsansprüche in dem Verhältnis, in dem ihr Gesamtbetrag zum Höchstbetrag steht. Auf gut Deutsch: Viele Kunden erhalten wohl allenfalls einen Bruchteil ihres Reisepreises zurück. Aber so ganz sicher sind sich diesbezüglich selbst die Juristen nicht. Reiserechtsexperte Professor Ernst Führich sieht gegenüber dem MDR in der deutschen Gesetzgebung derart große Versäumnisse, dass seiner Ansicht nach sogar eine Haftung der Bundesregierung in Betracht kommen könnte. Kein Wunder also, dass bei einer solch chaotischen Gesamtsituation auch Kriminelle ihre Chance wittern.
Daher noch einmal der Hinweis: Auf keinen Fall die Email-Nachricht beantworten oder den hinterlegten Link anklicken!
Wurden Thomas Cook Kundendaten geklaut?
Wir haben uns nach Rücksprache mit einem IT-Sicherheitsexperten gewagt, den Link anzuklicken und eine entsprechende Phishing-Seite zur Datenübermittlung erwartet. Bei mehreren Versuchen war die hinterlegte Zielseite jedoch nicht zu erreichen. Dennoch steht zu befürchten, dass die Seite jederzeit (re)aktiviert werden könnte und Betroffene der Thomas Cook Insolvenz in ihrer Verzweiflung tatsächlich die geforderten Dokumente der angeblichen Verifizierung hochladen könnten.
Anhand der etwas kryptischen Webadresse ist beim Abruf eindeutig zu erkennen, dass es sich nicht um eine valide Internetpräsenz von Thomas Cook handelt. Auf der Hauptdomain der URL verbirgt sich jedenfalls ein geschütztes Verzeichnis sowie ein englischsprachiger Fashionblog, dessen Webserver vermutlich kompromittiert wurden. Auch hinter dem Email-Absendernamen „Thomas Cook Buchhaltung“ verbirgt sich in Wahrheit ein über den amerikanischen Provider Yahoo registriertes Postfach. Die Muster entsprechen damit auch größeren Phishing-Attacken bei Banken, Versandhäusern und anderen Onlineplattformen. Gleichwohl dürfte es einem unbedarften Laien schwerfallen, den Betrug angesichts der besonderen emotionalen Stress-Situation sofort zu erkennen.
Die besagte Email ging auf einem privaten Postfach ein, das in dieser Form auch tatsächlich benutzt wird. In der Nachricht befinden sich jedoch darüber hinaus keine persönlichen Daten wie Namen oder eine konkrete Buchungsnummer. Zudem ist der Empfänger von der Thomas Cook Insolvenz überhaupt nicht betroffen. Demnach ist mit hoher Wahrscheinlichkeit davon auszugehen, dass dieser Betrugsversuch mit dem „Gießkannenprinzip“ an einen sehr großen Verteiler verschickt wird. Es gibt keinerlei Anzeichen dafür, dass tatsächlich Buchungs- oder Kundendaten der Reiseveranstalter gestohlen wurden.
Vielmehr deutet alles darauf hin, dass man sich angesichts der großen Anzahl betroffener Urlauber selbst bei breiter Streuung eine hohe Trefferquote erhofft. Zudem ist davon auszugehen, dass auch Verwandte und Bekannte im Umfeld von betroffenen Urlaubern eine entsprechende Email weiterleiten würden. Woher die verwendeten Empfängeradressen genau stammen, lässt sich nicht ermitteln. Leider gibt es im Internet Millionen an Datensätzen, die selten legal und oft illegal zum Verkauf angeboten werden. Insbesondere Emailadressen sind in der heutigen Zeit keineswegs mehr „geheim“, werden sie doch auf nahezu jeder Webseite und den sozialen Medien für die Registrierung benötigt.
Wie kann ich mich schützen? Muss ich Anzeige erstatten?
Einen effektiven Schutz vor dem Empfang der besagten Betrugsnachricht oder ähnlich gelagerter Emails kann es leider nicht geben. Besonders wichtig ist jedoch, dass keinerlei Links in der Email angeklickt und geöffnet werden. Zudem sollten Sie auf die geforderten Maßnahmen niemals eingehen und daher auch keine Antwortnachricht verfassen. Sie vermeiden jedes Risiko, in dem Sie die Nachricht ignorieren und umgehend löschen! Die Verbraucherzentrale NRW sagt zu dieser Thematik:
„Unsere grundsätzliche Empfehlung, Phishing-E-Mails zu löschen, gilt ausschließlich für den Fall, dass Sie den Betrugsversuch als solchen erkennen. Wenn Sie allerdings auf einen Betrugsversuch hereinfallen und sich beispielsweise durch das Klicken auf einen Link oder das Öffnen eines Dateianhangs ein trojanisches Pferd eingefangen haben, bedeutet dies, dass Sie den Betrug nicht rechtzeitig erkannt haben. Dann dürfen Sie die E-Mail im Nachhinein nicht mehr löschen, da diese ein wichtiges Beweismittel ist.“
Wie auch von der Verbraucherzentrale NRW empfohlen, ist eine Strafanzeige vor allem dann erforderlich, wenn Sie tatsächlich einen Schaden erlitten haben und/oder besonders sensible Daten in die Hände von Kriminellen geraten sind. Einen guten Überblick zum Thema gibt auch der Ratgeber Internetkriminalität der Polizei Niedersachsen sowie die Polizeiliche Kriminalprävention der Länder und des Bundes. Ganz besonders wichtig: Sollten Sie Ihre Kreditkartendaten per Email oder Dateiupload an Dritte gegeben haben, so kontaktieren Sie unverzüglich Ihre Bank und lassen die Karte sperren. Kontrollieren Sie zudem sicherheitshalber die nächsten Abrechnungen Ihrer Karte genau.
Ich bin betroffen von der Insolvenz. Wer kann mir helfen?
Für Rückfragen und den aktuellen Status Ihrer Buchungen wenden Sie sich bitte ausschließlich an Thomas Cook (offizielle Webseite), ggf. ihr vermittelndes Reisebüro sowie die Zurich Versicherung (offizielle Webseite) oder die beauftragte Abwicklungsstelle der KAERA AG. Online steht ein Formular zur Schadenanzeige bereit, wobei die Bearbeitung und Abwicklung sicher einige Monate in Anspruch nehmen dürfte. Bitte beachten Sie, dass seitens der KAERA AG tatsächlich das Hochladen unterschriebener Dokumente (Zustimmingserklärung, vollständige Buchungsbestätigung, Nachweise über die Zahlungen und Sicherungsschein) erwartet wird.
Derweil hat die die größte deutsche Reisebüro-Kooperationsallianz QTA mit fast 10.000 Büros im ganzen Bundesgebiet betroffenen Urlaubern angeboten, sich kompetente Hilfe im Reisebüro zu holen. Und zwar ganz unabhängig davon, wo gebucht wurde. Die Experten versprechen fachkundige Unterstützung bei der Suche nach schnellen und individuellen Lösungen, selbst dann, wenn Sie Ihre Thomas Cook Buchung bei einem Onlineportal oder direkt beim Veranstalter durchgeführt haben.
„Die Reisebüros möchten helfen, die schwierige Situation für die Kunden zu lösen, nachdem aktuell viele Call Center durch zu viele Anrufe überlastet und für Urlauber nicht erreichbar sind“, so QTA-Sprecher Thomas Bösl. Die teilnehmenden Büros sind online gelistet und können ohne vorherige Terminvereinbarung kontaktiert werden. Es sollte dennoch Verständnis dafür mitgebracht werden, dass eigene Kunden bevorzugt werden und Reisebüros wirtschaftlich arbeiten müssen.