Das Angebot liest sich verlockend: Ein Phillipp Tillerman bedankt sich höflich für die Aufnahme in die beliebte Facebook-Gruppe "Berliner Jobs" und stellt sich als Wissenschaftler der Johannes-Kepler-Universität Linz vor, der für eine Onlinestudie Teilnehmer sucht. Das Honorar ist vergleichsweise gut, die Arbeit überschaubar, das Thema interessant für alle, die sich mit Internet befassen.
Das dachte auch die 29-jährige Lisa, die mit ihrem frischen Wirtschaftsmaster-Abschluss gerade auf Jobsuche war. Bei der Studie geht es um digitales Bezahlen und das Testen von Verkaufsplattformen, die mit Bitcoin arbeiten. Bitcoin sind eine Art digitale Währung; Forschungsvorhaben dazu scheinen plausibel.
Phillipp Tillerman wirkt seriös, schreibt angenehm und fehlerfrei. Er fordert auf, kurz die eigene Motivation für die Teilnahme zu schildern. "Wir nehmen nicht jeden", schimmert da als Botschaft durch. Zum Ende des Posts hin macht Tillerman ein wenig Druck: Nur noch wenige Plätze seien frei, man solle sich beeilen. Lisa bewirbt sich.
Die Mail ging an "cryptoresearch-studien"; offenbar der Name der Studiengruppe. Die Domain-Endung ist allerdings "uni.de", ein Anbieter, bei dem es einfach ist, eine E-Mail-Adresse zu bekommen und der seine Kunden im Bereich von Hochschulen sucht.
Eine gerade erst eingerichtete Domain
Die Antwort kommt einen Tag später, am Sonntagmorgen, aber nicht von Phillipp Tillerman, sondern von einer Anja Geschke. Der Absender: cryptoresearch-studie.de, diesmal also eine eigene Domain. Die ist allerdings leer. Ganz frisch eingerichtet.
Die vermeintliche Anja Geschke schreibt, sie habe einen Bachelor of Arts und koordiniere zusammen mit ihrer Kollegin Tanja Bach die Bewerbungen. Auch ihr Text ist in einem verständlichen Deutsch, beinahe fehlerfrei verfasst. Gut, das Wort Broschüre ist einmal falsch geschrieben. Aber es geht um 500 Euro für ein paar Stunden Aufwand, denkt sich auch Lisa. Im Arbeitsvertrag über "eine geringfügige Beschäftigung" wird ein Studienleiter genannt, den es auch tatsächlich gibt, wie eine kleine Suche auf der Internetseite der Uni Linz ergibt.
Man solle nun ein Bankkonto nennen, auf das dann die Forscher mehrere Tausend Euro in verschiedenen Überweisungen einzahlen wollen. Die Studienteilnehmer sollen das Geld in Bitcoin umtauschen und mit dem Geld auf verschiedenen Verkaufsplattformen bezahlen, dazu genau die Zeiten der Transaktionen dokumentieren.
Fragen würden gern beantwortet, falls der angehängte Vertragstext noch erläutert werden müsse, heißt es in der Mail, dann der mahnende Hinweis: "Bitte beachten Sie, dass die wenigen verfügbaren Plätze nach dem Prinzip 'first come, first served' vergeben werden." Lisa schreibt ihre Kontoverbindung in den Vordruck, unterschreibt, scannt Vertrag und ihren Personalausweis, schickt alles per E-Mail an die vermeintliche Studiengruppe.
Falscher Studienleiter, echter Mitarbeiter
Am nächsten Tag kommen ihr Zweifel. Auch anderen Interessenten waren Ungereimtheiten aufgefallen: Die Hochschule wurde nicht als Vertragspartner genannt, lediglich der Fachbereich. Die Unterschrift des Studienleiters wirkt eingescannt, der Name von Phillipp Tillerman wird anders geschrieben als in seinem Facebook-Account.
Und die Person, die angeblich die Internetseite angemeldet hat, ist unter dieser Adresse nicht zu finden. Herausfinden lässt sich die Adresse bei der Registrierungsstelle Denic, wo alle Internet-Domains mit .de-Endung registriert sind. Und dann ist da noch das viele Geld, das da transferiert werden soll. Zu viele Ungereimtheiten, denkt sich Lisa mittlerweile und widerruft ihren Vertrag. Eine Antwort erhält sie nicht.
Am Abend kommt schließlich eine E-Mail des angeblichen Studienleiters, der ein echter Mitarbeiter der Hochschule ist. Er war von einigen Interessenten direkt über seine Uni-E-Mailadresse angeschrieben worden. "Ich leite keine Studie zu Bitcoin-Marktplätzen. Bei dem Facebook-Profil handelt es sich um eine Fälschung. Es gibt auch keine Mitarbeiterin Anja Geschke. Freundliche Grüße."
Er habe Anzeige erstattet, schreibt er. Auf Facebook ist der Fake-Account mit seinem Namen noch tagelang zu sehen, zum Beispiel bei einer Gruppe für Wirtschaftsstudenten in Mainz. Der Account auf den Namen Phillipp Tillerman, mit der auf Facebook-Jobbörsen zumindest in Berlin und Hamburg geworben worden war, ist dagegen verschwunden.
Lisa ärgert sich inzwischen über ihre eigene Naivität. "Aber ich hätte das Geld so gut brauchen können", sagt sie. Genau damit haben die Betrüger gerechnet.
Sabine Petri von der Verbraucherzentrale Nordrhein-Westfalen: "Es könnte sein, dass irgendwann einmal jemand mit der falschen Identität und der Kontoverbindung im Internet einkauft. Die Lieferung erfolgt dann über Mittelsmänner an Deckadressen. Wer auf diesen bislang noch ziemlich unbekannten Trick mit der Studie hereingefallen ist, sollte regelmäßig sein Konto überprüfen, um falsche Lastschriften zu entdecken und bei der Bank zu stornieren. Der Händler, bei dem man angeblich eingekauft hat, muss dann auf jeden Fall auch informiert und über den Identitätsdiebstahl aufgeklärt werden."