Donnerstag, 28. November 2019

Stellenanzeigen - Betrug / Geldwäsche - Social Engineering


Vorsicht bei Stellenanzeigen über das Internet – Gefahren beim Online-Banking

Aktuell liegt uns ein Fall von Social Engineering vor, in dem über Stellenanzeigen im Internet persönliche Daten abgefragt werden, welche dann für betrügerische Verkäufe sowie Geldwäsche missbraucht werden

Als Social Engineering bezeichnet man zwischenmenschliche Beeinflussungen mit dem Ziel, bei Personen bestimmte Verhaltensweisen hervorzurufen, sie zum Beispiel zur Preisgabe von vertraulichen Informationen, zum Kauf eines Produktes, zur Eröffnung von Bankkonten oder Freigabe von Finanzmitteln zu bewegen.

Im vorliegenden Fall wurden über seriöse Seiten, welche Stellenanzeigen im Internet anbieten (z. B. indeed.com) Stellenanzeigen für Homeoffice Arbeitsplätze geschalten. Gleichzeitig werden gefälschte Webseiten im Internet eingerichtet, welche die IT-Firma darstellen soll, welche deutschlandweit Mitarbeiter sucht. 

Im aktuellen Fall handelt es sich um eine angebliche Firma Gaami GbR, Berliner Allee 2, 97114 Freiburg im Breisgau, Telefon 0221-29197596. Unter gaami.co und gaami.net wurden entsprechende Fake-Webseiten angelegt. Die Toplevel Domain .co soll hier offensichtlich bei Webseitenbesuchern den Eindruck Company erwecken, letztendlich handelt es sich jedoch um eine (anonym) frei registrierbare Domain aus dem Länderkennzeichen von Kolumbien

Der Inhalt der Webseite gaami.co (oder gaami.net) wurde offensichtlich von der Firma Mutios GmbH aus München kopiert. Auf diese Art und Weise wurde versucht mit wenig Aufwand eine repräsentative Webseite zu erstellen. Geworben wurde u.a. mit Referenzen namhafter Firmen.

Bewirbt man sich nun auf die angebotenen freien Home-Arbeitsplatzstellen (z. B. als  KI-Betreuer oder freiberuflicher Mitarbeiter zur Dateneingabe) wird in sehr professionell wirkenden e-Mails Seitens Gaami geantwortet und den Bewerber das weitere Prozedere der Bewerbung mitgeteilt. 

So heißt es in der uns vorliegenden e-Mail von Gaami: 

„Liebe ,
vielen Dank für deine Bewerbung als Helfer zum KI-Training. Wir freuen uns, dir mitteilen zu können, dass wir uns für die entschieden haben. Wir möchten dich herzlich als künftige Mitarbeiterin des Unternehmens begrüßen.

Zum weiteren Vorgehen:
Wir benötigen folgendes Formular von dir ausgefüllt zurück und eine Kopie oder Fotografie deines Personalausweises (Vor- und Rückseite).

Dabei müssen auf den Bildern jeweils alle vier Ecken des Ausweises zu sehen sein! Das Mindestalter beträgt 18 Jahre.

Formular:

Vorname, Geburtsname, Familienname
Wohnanschrift
Straße, Hausnummer
PLZ, Ort
Staatsangehörigkeit
Telefonnummer

Anschließend bekommst du von uns einen Vertrag über die Mitarbeit in Teilzeit. Diesen bitte ausdrucken und gegenzeichnen. Wir benötigen anschließend nur ein Scan/Foto davon zurück. Wenn du den Vertrag nicht drucken kannst können wir dir diesen auch zusenden.
Du erhältst eine Bezahlung von bis zu 14 Euro je Stunde auf Basis einer flexiblen Wochenarbeitszeit von 5 bis 20 Stunden. Die Arbeitszeit wird mit unserem Verwaltungssystem abgestimmt und berücksichtigt auch die Zeit zur Einarbeitung. Du wirst Anfangs an einem kurzen Webinar teilnehmen in denen dir alles Nötige in einfachen Schritten erklärt wird.

Die Vertragsdauer ist projektbezogen unbefristet und enthält eine zwei Monatige Erprobungszeit. Weiterhin hast du auch die Option auf eine unbefristete Übernahme in Voll- und Teilzeit sowie die Möglichkeit an weiterführenden Projekten zu arbeiten.

Nach der Vertragsunterzeichnung erhältst du deinen persönlichen Zugriff auf unser Mitarbeiterportal. Hier findet nach der Einweisung deine Arbeit statt. Es werden dir Aufgaben zugeschrieben, wie das Sortieren von KI-Generierten Bildern nach bestimmten Kriterien.

Schau bitte auf unsere KI-Trainingsseite für Bewerber . Hier findest du weitere Informationen dazu.

Unser Mitarbeiterportal trackt deine Arbeitszeit und schreibt dir dein Gehalt gut. Dabei gibt es einen 50 Euro Willkommensbonus, welcher dir nach erfolgreichem Abschluss des Einführungs-Webinars gutgeschrieben wird. Dein Gehalt kannst du wöchentlich auszahlen lassen. Damit das Gutschreiben und Auszahlen automatisch und in Echtzeit funktioniert arbeiten wir mit der Commerzbank zusammen.

Dort erstellst du dein persönliches Gehaltskonto, welches an unser Mitarbeiterportal gekoppelt wird. Im Anschluss kannst du dort alle Zahlungen verwalten und deine Konto- und Gehaltsübersicht einsehen.

Wir hoffen, dass auch du dich für uns entschieden hast. Bitte melden dich bis zum zurück, ob du die Stelle annehmen möchtest.

Bei Fragen kannst du dich jederzeit an uns wenden. Wir freuen uns auf gute Zusammenarbeit.“

Auch auf Rückfragen bzgl. Abgaben / Steuern oder Regelung der Arbeitszeit wird in weiteren Mails sehr detailliert eingegangen. Sämtliche Emails erweckten einen seriösen Eindruck. 

Letztendlich wird durch die Stellenanzeige und e-Mails versucht, an die genauen Adressdaten des Bewerbers sowie Geburtsdatum, Telefonnummer, Ausweiskopien und eine originale Unterschrift zu gelangen.
Weiterhin soll der Bewerber dann nach Vertragsunterzeichnung des Arbeitsvertrags einen Zugang auf das Mitarbeiterportal der Firma erhalten und ein Gehaltskonto bei einer Partnerbank (z. B. Commerzbank oder N26 Bank) zu eröffnen. Auf dieses Bankkonto soll dann das Gehalt überwiesen werden.

In einer weiteren e-Mail von Gaami heißt es dann u.a. zur Begründung der Einrichtung eines Onlinebankkontos:

"Gemäß § 239 Abs. 2 des HGB i.V.m. § 146 Abs. 1 AO müssen entsprechend der GoB Geschäftsvorfälle ordnungsmäßig erfasst und lückenlos dokumentiert werden. Da durch den Freien Mitarbeiter ein durchlaufender Posten entsteht, der den Gewinn des Unternehmens nicht beeinflusst und dieser so nicht in der Jahresabschlussbilanz erfasst wird, muss, um nicht im Wiederspruch zu § 239 Abs. 2 des HGB i.V.m. § 146 Abs. 1 AO sowie der GoB zu stehen, über Hilfskonten die entstandenen Ein- und Auszahlungen abgerechnet werden. Zu- und Abgänge sowie die Zeitpunkte und der Grund müssen stets nachvollziehbar aufgezeichnet werden. Des weiteren führt die Auszahlung des Gehaltes des freien Mitarbeiters zu einer doppelten Buchung. Die Abwicklung über ein Verrechnungskonto stellt sicher, dass der steuerlich relevante Vorgang, nur einmal verbucht wird."

Im Weiteren wird versucht, den Bewerber nach Eröffnung des Bankkontos solange wie möglich zu vertrösten, so finden z. B. geplante Webseminare aus technischen Gründen nicht statt oder es kommt zu anderen Verzögerungen. 

Ziel des Betruges ist es, mit den eröffneten Gehaltskonto und den persönlichen Daten betrügerische Verkäufe über das Internet abzuwickeln. So werden bei Ebay oder Ebay-Kleinanzeigen Waren verkauft, welche nicht existieren und Zahlung per Vorkasse auf das eröffnete Bankkonto gefordert. Da die Betrugsfirma Zugriff auf dieses Konto hat werden sämtliche Geldeingänge unverzüglich ins Ausland weitergeleitet und verschleiert.
In dem uns vorliegenden Fall wurde über einen Zeitraum von 10 Tagen ein Umsatz von knapp 25.000,00 € abgewickelt. Eingehende Gelder wurden umgehend auf Konten in England, Holland, Litauen weiterverschoben. 

Selbstverständlich wurde im vorliegenden Fall umgehend Strafanzeige erstattet, jedoch ist davon auszugehen, dass sich derartige Betrugsmaschen in Zukunft häufen werden. Siehe hierzu auch den Artikel im Handelsblatt „Betrüger sollen hunderte Konten von N26 für Geldwäsche genutzt haben“ - https://www.handelsblatt.com/finanzen/banken-versicherungen/smartphonebank-betrueger-sollen-hunderte-konten-von-n26-fuer-geldwaesche-genutzt-haben/24228122.html
 

Wie kann man sich vor derartigen Betrugsmaschen schützen?

Zum einen sollte man Firmen, bei denen man sich bewirbt, zuvor über das Internet googlen, und hier die Authentizität der Firma und Webseite zu prüfen. 

Weiterhin ist es sinnvoll die Adresse der Firma auf Google Maps zu überprüfen sowie die Firma auch telefonisch zu kontaktieren. Im vorliegenden Fall von Gaami wäre aufgefallen, dass die Firma, welche angeblich für weltweit führende Unternehmen wie Microsoft, Lufthansa Technik, Allianz, Audi etc. arbeitet, bis auf die Firmenwebseite keinerlei Google- Einträge aufweist. Auch auf Google Maps ist die Firma unter dem Standort nicht verzeichnet. Telefonisch ist die Firma nicht erreichbar. Hier meldet sich nur eine automatische Ansage die mitteilt, dass derzeit die Telefonanlage im Umbau sei. 

Der verantwortliche Vertreter von Gaami, Herr Johannes Gerling, hat zwar bei Xing ein Profil, jedoch fällt hier auf, dass es sich nur um eine kostenlose Basismitgliedschaft handelt. Weiterhin ist beim Xing Profil auffällig, dass kein Foto hinterlegt ist, sowie nur ein Kontakt zu einem anderen Mitglied existieren. Also CEO eines angeblich erfolgreichen Technologieunternehmens, welches für große Firmen tätig ist, ist ein derartiges Profil sehr ungewöhnlich. 

Eröffnen Sie niemals für Dritte ein Online Bankkonto, auf das auch andere Zugriff nehmen könnten, da die sehr hohe Wahrscheinlichkeit besteht, dass dieses für betrügerische Absichten missbraucht wird. Vorsicht auch bei Links von angeblichen Bewerbern oder Stellenanzeigen. Diese können auch Schadsoftware enthalten! Senden Sie niemanden Kopien Ihres Personalausweises. Gehen sie vorsichtig mit ihren personenbezogenen Daten, wie Adresse, Geburtsdatum, e-Mails, etc um! 

Daten aus Social Engineering dienen häufig auch zum Eindringen in fremde Computersysteme, um vertrauliche Daten einzusehen (Social Hacking) oder Gelder zu transferieren (CEO-Fraud).

Mittwoch, 19. Juni 2019

Zentraldienst der Polizei - Zentrale Bußgeldstelle kennt zuküftige Verstöße!

Ab jetzt beginnt ein neues Zeitalter!

Ich habe soeben (heute 19.06.2019 - 15:42 Uhr) von Herrn White eine e-Mail des "Zentraldienst der Polizei -Zentralen Bußgeldstelle" erhalten.

In der e-Mail weist mich die Polizei darauf hin, dass ich als Fahrer am 19.06.2019 (also heute) um 18:55 Uhr in Blankenfelde (d.h. in ca 3 Stunden und 13 Minuten) die zulässige Geschwindilkeit (mir ist schon ganz schwindelig) in Argonnenweg (60 Km/h) abzüglich Toleranz um 14 km/h überschreiten werde.

Wow! Ich bin fasziniert!

Wie geht das nur - woher hat die Polizei meine e-Mail Adresse und woher weiß Sie dass ich in 3 Stunden zu schnell fahren werden.
Und noch viel verwirrender? Was mache ich in Blankenfelde und wo zur Hölle ist der Argonnenweg?
Und was noch viel problematischer ist - laut Google Maps brauche ich von Regensburg nach Blankenfelde 4 Stunden und 32 Minuten (kein Wunder, dass ich so schnell fahre!).

Also ich muss dann jetzt los - sonst schaffe ich es nicht mehr rechtzeitig.

Die festgesetzte Geldbuße und Auslagen von insgesamt 128,50 € kann ich dann ja später bezahlen nur ja nicht auf dem Link "Einspruch einlegen" klicken. Wer weiß was dann noch alles für e-Mails kommen!

Vielleicht sollte ich ja auf "unsubscribe me from this list" drücken - aber dann kann mich die Polizei ja nicht mehr über meine zukünftigen Straftaten und Ordnungswidrigkeiten warnen!?

In diesem Sinne - auf nach Blankenfelde.

P.S. an der Rechtsschreibung muss die "Zentralen Bußgeldstellen" noch arbeiten.
Auch ist die Überschreitung einer "Festgestelte Geschwindilkeit" (kommt vermutlich vom Wort "Schwindel") keine Straftat - aber wer fällt schon auf so einen Schwindel herein?

Dienstag, 2. Oktober 2018

Vorsicht vor Schreiben der Datenschutzauskunft-Zentrale - DAZ

Derzeit sind Schreiben der "Datenschutzauskunft-Zentrale" - Erfassung Gewerbebetriebe zum Basisdatenschutz nach EU-DSGVO von der DAZ - Zentrale Postverteilerstelle, Lehnitzstraße 11, 16515 Oranienburg mit der Überschrift "Eilige FAX-Mitteilung" im Umlauf.

Bei diesen Schreiben wird auf den ersten Blick der Eindruck erweckt es handelt sich um eine gesetzliche Pflicht welcher ein Betrieb durch das Ausfüllen und zurücksenden des beiliegenden Formulars erfüllen muss.

Im Anschreiben heißt es, dass das beigefügte Formular gebührenfrei an die zentrale Fax-Stelle 00800/77 000 777 zurück zu senden sei. Um eine rechtzeitige Bearbeitung zu gewährleisten, ist eine kurze Frist angegeben.

Was viele dabei vermutlich oftmals übersehen, ist, dass auf der zweiten Seite (dem Formular), schön versteckt in allgemeinen Hinweisen zur DSGVO steht, dass es sich bei dem Schreiben der DAZ um ein kostenpflichtiges Angebot zum Abschluss eines "Leistungspakets Basisdatenschutz" handelt. Wenn das Formular unterschrieben wird, soll damit ein Vertrag zu einem jährlichen Preis von 498.- € zuzügl. USt und einer Laufzeit von 3 Jahren abgeschlossen werden!

Die Schreiben ähneln sehr den Schreiben, welche Gewerbetreibende nach Eröffnung einer Firma oder Eintragung einer Marke erhalten und mit denen Dritte Geld ohne viel Leistung verdienen wollen. Ob in diesem Fall die dahinter stehende Leistung des "Basisdatenschutz Pakets" den Preis von 1.494.- € wert ist, kann ich nicht sagen. Allgemeine Muster zum Datenschutz erhalten Sie jedoch auch kostenlos z.B. unter https://lda.bayern.de.

Nach meiner Meinung sind derartige Verträge wie mit der DAZ schon wegen Irreführung anfechtbar (siehe hierzu auch unser Artikel unter https://fachanwalt-it.blogspot.com/2015/10/abofalle-zentrales-gewerberegister-zur.html). Das LG Hamburg hat z.B. mit Urteil vom 14.01.2011, Az. 309 S 66/10 entschieden, dass die Verwendung irreführender Formulare für Branchenbuch-Einträge einen Betrug darstellt.

Richtig ist, dass die Bestellung eines Datenschutzbeauftragten bei der zuständigen Aufsichtsbehörde (kostenfrei) anzuzeigen ist.

Wenn Sie einen externen Datenschutzbeauftragten bestellen fallen selbstverständlich für diese Tätigkeit je nach Unternehmensgröße und je nach Aufwand entsprechende Kosten an, jedoch erhalten Sie dann nicht allgemeine Muster sondern einen auf Ihr Unternehmen individuell angepassten Rat und einen für Ihr Unternehmen zugeschnittenen Datenschutz. Eine rein proforma Bestellung eines Datenschutzbeauftragten, der sich weder mit der Materie auskennt, noch Ihr Unternehmen aktiv berät hilft Ihnen hingegen nicht um Ihre Pflichten nach DSGVO nachzukommen.

Wenn Sie Fragen zum Datenschutz haben oder einen externen Datenschutzbeauftragten bestellen wollen, so können Sie uns gerne jederzeit kontaktieren. RA Markus v. Hohenhau ist zertifizierter EU-Datenschutzspezialist und seit vielen Jahren externer Datenschutzbeauftragter verschiedener Unternehmen.

Freitag, 28. September 2018

Abmahnung wegen fehlerhafter Datenschutzerklärung - Beschluss LG Würzburg 11 O 1741/18

Auch wenn bisher viele befürchtet haben, dass es nach Inkrafttreten der EU-DSGVO zu einer Abmahnwelle wegen falscher oder fehlender Datenschutzerklärungen auf Webseiten kommt, ist es bisher extrem ruhig gewesen.

Den ersten Beschluss (Az: 11 O 1741/18) zur DSGVO und Datenschutzerklärung hat nunmehr das Landgerichts Würzburg (Beschluss vom 13.09.2018) zu der Frage, ob eine wettbewerbsrechtliche Abmahnung bei einem DSGVO-Verstoß zulässig ist getroffen. Nicht wirklich überraschend hat das Gericht im einstweiligen Verfügungsverfahren festgestellt, dass eine fehlerhafte Datenschutzerklärung (eines Anwalts!) gegen UWG verstoßen kann und kostenpflichtig abgemahnt werden kann.

Es wird daher dringen geraten die Webseiten bezüglich richtiger und vollständiger Datenschutzerklärung zu prüfen und diese gegebenenfalls anzupassen.

Ich rate hierbei von den im Internet befindlichen Datenschutzgeneratoren ab, da diese weder eine Haftung übernehmen noch eine Überprüfung der tatsächlichen Webseite vornehmen. Zudem dürften viele Nutzer bei der Auswahl der Texte und Einstellungen überfordert sein. Keinesfalls ist es sinnvoll alles bei diesen Generatoren auszuwählen, so nach dem Motto "lieber zu viel als zu wenig". Wenn Sie keine Cookies oder Plugins etc verwenden, so dürfen Sie diese auch nicht in Ihrer Datenschutzerklärung aufführen. Die DSGVO schreibt unmissverständlich vor, dass Nutzer (in einer Datenschutzerklärung) in "präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache" informiert werden müssen.
Eine 20-seitige Datenschutzerklärung mit Passagen, die nichts mit der Realität der Webseite zu tun hat dürfte nach meiner Einschätzung nach genauso wettbewerbswidrig sein, wie die 7-zeilige Datenschutzerklärung im Fall des LG Würzburg.

Wenn Sie eine Datenschutzerklärung brauchen, so wenden Sie sich an jemanden, der sich damit auskennt. Wir haben in den letzten Monaten mehrere hundert Webseiten und Onlieshops aus ganz Deutschland überprüft und individuelle Datenschutzerklärungen erstellt.