Betrug beim Online-Shopping: Wie man Fake Shops erkennt

Der Betrug mit Online-Verkaufsplattformen, sogenannten Fake Shops, nimmt sprunghaft zu. Tatsächlich hat sich die Zahl der Betroffenen, die sich beim Verbraucherschutz melden, in Corona Zeiten vervierfacht: Die geschlossenen Läden sorgen dafür, dass mehr Verbraucher im Internet shoppen und dabei auf betrügerische Internetseiten stoßen, auf denen Waren günstig zum Kauf angeboten werden. Ein Beispiel: Ein Blumenladen in der Konstanzer Reichenaustraße hat sein Geschäft aufgegeben und meldet die Internet-Adresse ab. Diese kursiert aber noch im Netz und wird von den Suchmaschinen gelistet. Doch statt Blumen werden nun Marken-Turnschuhe zu Schnäppchenpreisen angeboten. Diese wird der Kunde wahrscheinlich nie zu Gesicht bekommen, ebenso wenig wie das im Voraus bezahlte Geld.

Der Blumenladen sei kein Einzelfall, sagt Joachim Feist vom Konstanzer Unternehmen mindUp web + intelligence GmbH, das sich seit 20 Jahren auf Datenanalyse spezialisiert hat. Das Vorgehen sei immer das gleiche: Abgelegte Domains, auf denen noch etwas Traffic läuft, werden – oft in Massen – von Betrügern übernommen. Auf diesen Seiten wird dann immer nach dem gleichen Muster ein Online-Shop installiert. Hierzu werden häufig von bestehenden Shops Produktbilder und -texte kopiert und in das Online-Shop System des Fake Shops überführt. Sobald diese Daten einmalig vorliegen, können neue Online-Shops sehr schnell eröffnet werden. Maximal werden dann noch das Startbild ausgetauscht und der Produktschwerpunkt auf einen Teilbereich gelegt, dann noch halbherzig ein Logo erstellt und die Texte etwas angepasst.

Im Angebot sind Luxusuhren, rezeptfreie Arzneimittel, Viagra oder – wie beim Blumenladen – exklusive Sneakers. Manche Betrüger haben auf diese Weise 500 Fake Shops eingerichtet, die alle auf ein einziges Bezahlkonto hinführen.

Fake Shops mithilfe von Künstlicher Intelligenz entdecken

„Wir vermuten, dass es allein auf den .de-Domains eine fünfstellige Zahl an Fake Shops gibt“, sagt Joachim Feist. Er und seine Kollegen nutzen seit Jahren verschiedene Parameter, um solche Shops zu erkennen. Hierzu werden Web-Crawling-Techniken eingesetzt, um Suchmaschinenergebnisse und die Inhalte der Webseiten mit Hilfe von Texterkennungsverfahren zu analysieren. Viele Fakeshops haben zum Beispiel kein Impressum – ein erstes Warnzeichen. Dann ist die Sprache etwa bei den Geschäftsbedingungen oft in einem holprigen Deutsch geschrieben. Wenn dann noch der Webhoster im Ausland sitzt und die Website erst seit Kurzem existiert, dann klingeln bei Joachim Feist die Alarmglocken. „Wenn eine Seite wie ‘www.versandhaus-weber.de’ im Impressum eine Adresse angegeben hat, die eigentlich unter der Konstanzer Rheinbrücke liegt, dann ist sie ein Kandidat für unsere schwarze Liste“, sagt Feist.

Bei der Entlarvung von Fake Shops arbeitet mindUp mit Künstlicher Intelligenz: Die Techniken des maschinellen Lernens sind gut geeignet, um thematische Klassifikationen aus großen Datenmengen einzutrainieren. Das Beispiel mit den Sneakers aus dem Blumenladen ist nur eines von vielen. Es gilt auch Fälle zu erkennen, in denen etwa eine legale Online-Apotheke gehackt wurde, um auf eine illegale Online-Apotheke zu verlinken. Kriminelle entwickeln sich mit ihren Betrugsmaschen immer weiter. Deshalb muss sich auch das kontrollierende System, sprich das Computerprogramm mitentwickeln. Mit jeder erkannten Seite steigert sich das Wissen des Systems und trägt zur weiteren Erkennungsleistung der Künstlichen Intelligenz bei.

Gesetz zum Umgang mit Fake Shops fehlt in Deutschland

Wie geht es weiter, wenn man einen Fake Shop als solchen erkannt und klassifiziert hat? „Bisher gibt es in Deutschland kein Gesetz, welches erlauben würde, eine Seite zu sperren, nur weil sie kein Impressum hat“, sagt Joachim Feist. In der Schweiz dagegen gibt es seit 2017 eine eigene Verordnung für Internet-Domains, mit der man bei Anfangsverdacht eine Domain sperren kann – allerdings nur welche mit einer .ch-Endung. So gelingt es den Schweizern, 99 Prozent der gemeldeten Fake Shops .ch-Endung innerhalb von vier Wochen abzuschalten. In Deutschland ist die Bilanz wegen der fehlenden gesetzlichen Grundlage eher ernüchternd: Nur 30 Prozent erkannter Fake Shops mit der Endung .de konnten innerhalb von acht Monaten abgeschaltet werden.

Nachdem mindUp fünf Jahre lang mit Meldungen an die Polizei und Verbraucherverbände nicht weitergekommen ist, weil die gesetzliche Handhabe fehlt, hat man sich entschlossen, nicht mehr zu warten und „genau das zu machen, was wir gut können“, so Feist: „Fake Shops technisch erkennen.“ Dazu werden die mindUp-Suchmaschinen täglich mit typischen Suchbegriffen bestückt – billige  Waschmaschinen, Viagra, günstige Sneaker etc. – und anhand der von der Künstlichen Intelligenz bewerteten Parameter werden Listen von Fake Domains erstellt. Für diese Listen sucht das Unternehmen nun Kooperationspartner aus der Privatwirtschaft, die die Information nutzen können: Antiviren-Hersteller, Suchmaschinenbetreiber, Verbraucherschutzverbände und Markenhersteller, die gewarnt werden, sobald ein Plagiat ihres Produkts auftaucht.

Gehackte Webseiten bleiben oft unerkannt

Das Finden von Fake Shops mit abgelegten Domains ist aber nur ein Gebiet eines komplexen Themenbereiches. Ein anderes Kaliber, so Joachim Feist, seien die funktionierenden Webseiten, die nicht unter einer alten Domain entstehen, sondern gehackt werden, um dann eine Unterseite mit den falschen Produkten zu erstellen. Hacker verschaffen sich über Sicherheits-Schwachstellen Zugang in Content Management Systeme wie WordPress und erstellen dort ihre Unterseiten.

Durch das gezielte Hacking von bestehenden Domänen macht sich der Betrüger die über Jahre gewachsene Reichweite, das gute Suchmaschinen-Ranking sowie den guten Ruf der gehackten Seite zunutze. So kann es sein, dass ein bekannter Maschinenbau-Unternehmer jahrelang Unterseiten mit Apothekenprodukten wie Viagra mit sich führt, ohne dies zu merken. „Das ist das knifflige an der Angelegenheit“, so Feist. „Wenn man die Adresse normal eintippt, merkt man nichts. „Erst wenn man über die Suchmaschine ein Stichwort eingibt und auf das angezeigte Ergebnis klickt, kommt man im Fall des Maschinenbau-Unternehmers zu einer Fake Apotheke, die rezeptfreie Arzneimittel und Viagra anbietet.“

Obwohl thematisch zwischen Fake Shop und der sogenannten gehackten Wirtsseite keine Übereinstimmung besteht, kann der Angreifer so bereits über Nacht zehntausend Themenseiten seines Fake Shops im Suchindex der Suchmaschinen erfolgreich platzieren und damit eine hohe Anzahl an Webbesuchen generieren.

Im Visier der Hacker sind häufig kleine Webseitenbetreiber. Opfer sind vor allem Vereine, freiberuflich Tätige oder Selbstständige, etwa aus dem Handwerksbereich, aber auch Privatpersonen, bei denen die Seiten nicht konsequent abgesichert werden. Dennoch sind auch große Organisationen nicht gefeit vor Angriffen: So „warb“ die technische Hochschule MIT in Boston eine Zeit lang, ohne es zu wissen, für gefälschte Louis Vuitton Handtaschen.

mindUp beteiligt sich an Forschungsinitiative „Inspection“

Außer dem Erkennen und Auflisten der Fake Shops gilt es natürlich auch, die Betroffene darüber zu informieren oder frühzeitig zu warnen. „Das reine Erkennen bleibt nutzlos, wenn es keine Maßnahmen gibt, das Problem zu beheben“, sagt Feist. Deshalb hat mindUp im vergangenen Jahr eine Forschungsinitiative im Verbund mit dem Karlsruher Institut für Technologie (KIT), der Forschungsgruppe SECUSO und der Cybersecurity Abteilung der BDO AG Wirtschaftsprüfungsgesellschaft ins Leben gerufen. In diesem vom Bundesministerium für Bildung und Forschung geförderten Projekt „Inspection“ wirken außerdem Verbände und Webhoster mit. Im Mittelpunkt der Initiative steht zum einen das Aufspüren der gehackten Seiten, zum anderen die zielgerichtete und frühzeitige Warnung der Betreiber dieser Seiten.

mindUp setzt sein technisches Know-how ein, um von Fake Shop-Betreibern gehackte Seiten zu erkennen und übermittelt diese an die Cybersecurity-Experten der BDO AG. Diese durchleuchten die Art und Weise der Hackings und können aus der Erkenntnis Lösungen extrahieren, um den Betroffenen schnell Hilfestellung zu geben – auch wenn diese kein Expertenwissen haben. Forschende am Karlsruher Institut für Technologie (KIT) bauen auf diesen Erkenntnissen auf und entwickeln ein optimales Verfahren, um Betroffene zu informieren − etwa über Polizeibehörden, Branchenverbände oder Webhoster, die auch an dem Projekt teilnehmen.