Cyberkriminelle nehmen Nutzer der Second-Hand-Plattform Vinted ins Visier. So begrenzen Sie den Schaden.

In den letzten Wochen haben Nutzer der Secondhand-Fashion-Community Vinted immer wieder von Abzocke und Betrugsmaschen im Zusammenhang mit ihren Benutzerkonten berichtet.

Was ist Vinted?

Vinted ist eine Online-Handelsplattform für Secondhand-Mode, auf der Nutzer gebrauchte Kleidung und Accessoires verkaufen können. Die Plattform ist seit ihrem Start im Jahr 2008 immer weiter gewachsen und hat derzeit 45 Millionen aktive Nutzer in Spanien, Frankreich, Luxemburg, Belgien, den Niederlanden, Deutschland, Österreich, der Tschechischen Republik, Polen, Portugal, Litauen, dem Vereinigten Königreich, Italien, den USA und Kanada.

Hunderte von Nutzern melden gehackte Konten und Abzocke

Wie auch andere erfolgreiche Online-Handelsplattformen ist Vinted gegen Missbrauch nicht immun. Der Marktplatz lockt immer wieder auch Betrüger an, die vermeintlich hochwertige Kleidung anbieten. Auch Fake-Profile, die ihre Käufer nur abzocken, sind keine Seltenheit.

Doch in den letzten zwei Wochen häufen sich im Vinted-Forum und in den sozialen Medien Berichte von Nutzern aus Frankreich, Italien und Spanien, die Verluste in Höhe von vielen Tausend Euro beklagen. Hunderte Betrugsopfer haben sich an die Plattform gewandt und um Hilfe bei der Wiederbeschaffung ihrer Guthaben gebeten.

„In meiner Vinted-Geldbörse waren 160 Euro. Die sind jetzt weg“, so ein User.

„Hacker haben mich um fast 800 Euro erleichtert, was kann ich jetzt tun?“, fragt ein weiterer Betroffener. Ein anderer Nutzer schreibt: „Die 52 Euro in meinem Benutzerkonto wurden auf das Konto des Betrügers überwiesen... Das ist im Vergleich zu manchen Opfern keine große Summe, wenn ich mir Kommentare hier so ansehe... Aber für mich ist das viel Geld.“

Wie die französische Tageszeitung Le Parisien berichtet, wenden sich besonders viele Nutzer an ein Instagram-Konto, das von einer ehemaligen Vinted-Mitarbeiterin betrieben wird, die für die Aufklärung gehackter Konten auf der Plattform zuständig war.

Ihren Angaben zufolge reichen die Beträge von 100 Euro bis mindestens 800 oder 900 Euro. Betroffen seien einige hundert Benutzerkonten.

Sie habe das Vorgehen zwar schon in der Vergangenheit gesehen, aber nicht in diesem Umfang. In den letzten zwei Tagen habe sich ein regelrechtes Netzwerk gebildet, mit Opfern in Spanien und Italien.

So nehmen die Betrüger ihre Opfer ins Visier

Bisherigen Berichten zufolge sind die Angriffe auf die digitalen Geldbörsen der Nutzer alles andere als zufällig. Offenbar suchen sich die Cyberkriminellen ihre Opfer anhand ihrer E-Wallet-Guthaben sehr sorgfältig aus. Der Angriff beginnt, sobald die Hacker ein lohnendes Benutzerkonto gefunden haben.

Einige Opfer berichteten von SMS, E-Mails oder Anrufen, in denen sie darüber informiert wurden, dass eine Aktualisierung ihrer Kontaktdaten erforderlich sei. Die Benutzer wurden aufgefordert, Identifizierungsmerkmale anzugeben, mit denen die Angreifer dann ihre Benuterzkonten übernehmen und die zugehörigen Bankkontodaten (IBAN bzw. RIB) ändern konnten. Im Anschluss wurden verfügbare Guthaben auf die Konten der Betrüger überwiesen.

Andere Nutzer ließen sich von derartigen Phishing-Versuchen nicht täuschen. Doch auch hier gelang es den Betrüger, die Benutzerkonten – vermutlich durch erfolgreiche Credential-Stuffing-Angriffe – zu übernehmen. Nachdem sie auch hier die Kontonummern geändert hatten, posteten sie pornografische Inhalte über die Benutzerkonten, wodurch diese automatisch gesperrt wurden. Bevor sie die verbotenen Inhalte veröffentlichten, gelang es den Angreifern, sich der Guthaben zu bemächtigen und ihre Kontoinformationen wieder zu löschen.

Die Nachforschungen von Le Parisien haben das gestohlene Geld auf Bankkonten in Deutschland, Irland und Luxemburg zurückverfolgt.

Vinted will Opfer entschädigen

Die Secondhand-Marktplatz hat den Hack bestätigt, aber ausdrücklich darauf hingewiesen, dass die Hacker nicht in die Vinted-Plattform selbst eingedrungen sind, um sich Zugang zu den Benutzernamen und Passwörtern der Opfer zu verschaffen. Auch seien die Kreditkartendaten beim Zugriff auf die Benutzerkonten nicht vollständig sichtbar.

Nach Angaben des Unternehmens seien die verwendeten Verbindungsinformationen (Benutzernamen, Passwörter usw.) aus Daten abgeleitet worden, die außerhalb der Plattform abgefragt wurden und nicht von Vinted stammten.

Aktuell stellt die Plattform die Konten der gesperrten Nutzer wieder her. Vinted hat zwar keine weiteren Angaben zur genauen Zahl der Betroffenen gemacht, die ihr E-Wallet-Guthaben verloren haben, versichert aber, dass es seinen Nutzer die gestohlenen Gelder erstatten will.

Was können Betroffene tun?

Angesichts dieser jüngsten Ereignisse sollten Vinted-Nutzer jetzt besonders vorsichtig sein. Halten Sie sich dabei an die folgenden Grundregeln:

• Ändern Sie alle Passwörter von Konten mit den gleichen Zugangsdaten wie das betroffene Konto
• Überwachen Sie Ihre Bankkonten und melden Sie verdächtige Aktivitäten
• Fallen Sie nicht auf unerwartete E-Mails, SMS oder Anrufe herein, die Sie zur Angabe von PINs, Passwörtern oder Kreditkartendaten auffordern
• Installieren Sie eine Sicherheitslösung auf Ihren Geräten, die Sie vor Phishing und anderen Angriffen schützt
• Nutzen Sie einen Dienst zum Schutz Ihrer digitalen Identität, der Sie warnt, wenn Ihre Daten im Darknet auftauchen, und Ihnen hilft, Datenschutz- oder Sicherheitsprobleme auf Ihren Benutzerkonten zu beheben

Digital Identity Protection benötigt lediglich Ihre E-Mail-Adresse und Telefonnummer, um Datenpannen und Datenlecks auf die Spur zu kommen, durch die zentrale Informationen über Ihr digitales Ich in die falschen Hände gelangen könnten.

Werden Sie Mitglied der Digital Identity Community:

• Erfassen Sie das Ausmaß Ihrer digitalen Identität
• Erhalten Sie Aufschluss darüber, ob Sie schon in der Vergangenheit von Sicherheitsverletzungen betroffen waren, und erfahren Sie, welche Unternehmen welche Daten über Sie preisgegeben haben
• Lassen Sie sich über neue Datenpannen benachrichtigen
• Behalten Sie Ihre persönlichen Daten (E-Mail-Adressen, Passwörter, Kreditkarten) immer im Blick
• Erhalten Sie Empfehlungen, wie Sie im Falle von Datenpannen am besten vorgehen