Wie Service zum Risiko wird: Der Betrug mit umgeleiteten Paketen

Wir haben ja schon einige Betrugsfälle hinter uns und der letzte erfolgreiche Betrug liegt auch schon etwas zurück. Dennoch überrascht es mich immer wieder wie kreativ oder auch wie einfach es für Betrüger sein kann. Wir ziehen aus jedem Fall unsere Schlüsse und schliessen so eine Schwachstelle nach der anderen. Bei der jüngsten Methode (Dieser Artikel erscheint zeitverzögert) ist es eine Mischung und vor allem: Wir konnten eigentlich nicht viel machen und Tür und Tor öffnete hier ein gut gemeintes Service-Angebot von DPD…

Was, wenn ich nicht Zuhause bin? Einfach das Paket umleiten!

Klar, ein tolles Angebot von DPD und standardmäßig bei allen DPD Paketen möglich: Ein Umleiten an eine komplett andere Adresse noch während der Zustellung. Alles was ich dazu brauche ist meine Paketnummer und meine Postleitzahl. Klingt doch wunderbar! Kehrseite der Medaille: Gleich in mehreren Fällen werden hier Sicherheitskonzepte ad absurdum geführt.

Warum die Adresse so wichtig ist.

In vielen Fällen ist die Lieferadresse das einzige Merkmal eines Kunden, von dem wir sicher sein können, dass sie existiert. Emailadresse? Leicht gefälscht. Name und Rechnungsadresse? Etwas Kreativität reicht. Aber so lange wir mit phyischen Gütern handeln, muss die Lieferung ja irgendwo hin. Kein Wunder also, dass z.B. Paypal seinen Käuferschutz vor allem an die Lieferadresse und den Abliefernachweis koppelt. Auch viele (wenn nicht alle) Anbieter für den Rechnungskauf prüfen vor allem die Bonität und Ligitimität von Rechnungs-, Lieferadresse und deren Kombination(!).

Wir läuft der Betrug ab?

Fast ein bisschen zu einfach, um das ganze als gewieften Betrug zu bezeichnen. Der Betrüger bestellt auf den Namen und die Adresse eines ahnungslosen aber mit ordentlicher Bonität gesegneten Dritten. Das kann eine Firma aber ebenso eine Privatperson sein. Da Bonität, Name und Lieferadresse zusammenpassen gibt vermutlich jeder Bonitätscheck dieser Bestellung grünes Licht und der Händler liefert die Ware aus. Sobald der Betrüger die Paketnummer erhält, kann er diese aber noch bis kurz vor die Lieferung an eine völlig andere Adresse umleiten. Dort empfängt ein vermutlich noch sehr frischer Paketagent (mehr dazu hier) das Paket und leitet es abermals weiter und verschleiert damit das endgültige Ziel. Ergebnis: Die Ware ist weg, der Händler mahnt irgendwann den ahnungslosen und angeblichen Käufer an und erfährt erst dann von seinem Unglück – und bleibt darauf sitzen.

Was kann man tun?

Viele Möglichkeiten hat man nicht. Zu aller erst sollte geprüft werden ob man Versandarten anbietet, die eine Umleitung erlauben, dann klären ob man selbst Zahlungs- und Versandkombinationen erlaubt, die davon betroffen sind. Entweder sperrt man nun die Möglichkeit der Umleitung direkt beim Versanddienstleister, was für den ehrlichen Kunden natürlich eine Streichung eines möglicherweise nützlichen Services ist, oder man verbietet die entsprechenden Kombinationen im Shop. Die aufwändigste Variante ist die genaue Prüfung aller Bestellungen, die eine gefährdete Konstellation aufweisen. Die Kosten hierfür stehen in vielen Fällen aber leider nicht im Verhältnis.

Fazit

Ein wirklich gut gemeinter Service wird zum Einfallstor für findige Betrüger. Abhilfe schaffen würde eine Möglichkeit beim Versanddienstleister pro Paket die Umleitung sperrbar zu machen. So könnte man automatisch die gefährdeten Zahlarten absichern und die für den Kunden niedrigste Einschränkung umsetzen. Eine Rückmeldung von DPD steht dazu aktuell noch aus.