Teure In-App-Käufe durch Account-Missbrauch im iTunes-Store
So mancher iTunes-Kunde reibt sich verwundert die Augen: Auf seiner App-Store-Rechnung tauchen plötzlich teure In-App-Käufe auf, die er nie getätigt hat. Meist stecken Betrüger dahinter, die sich die Zugangsdaten verschafft und damit munter eingekauft haben. Mac & i erläutert die Hintergründe und zeigt, was Betroffene in einem solchen Fall tun sollten.
"Hilfe! Mein Account wurde gehackt und Geld abgebucht! Was kann ich tun?" Seit etlichen Monaten berichten iTunes-Store-Nutzer immer wieder von Einkäufen, die ohne deren Einverständnis mit ihrem Account getätigt wurden. Das Schema ist in den meisten Fällen dasselbe: Der App Store weist den Nutzer auf den Download oder Kauf einer App durch ein unbekanntes Gerät hin, anschließend folgt die Rechnung über Einkäufe, die mit dieser Anwendung getätigt wurden ("In-App Purchase"). Teils kommen Rechnungsbeträge in Höhe von mehreren hundert Euro zusammen. Diese Art des Account-Missbrauchs kann sogar bei Nutzern auftreten, die gar kein iOS-Gerät besitzen und noch nie eine App heruntergeladen haben – ein üblicher iTunes-Account mit Zahlungsmittel reicht dafür aus.
Wer eine Rechnung erhält, auf der solche nicht eigenhändig durchgeführten Einkäufe auftauchen, sollte zuallererst sein iTunes-Passwort ändern, damit nicht weitere Beträge unrechtmäßig abgebucht werden können. Das geht direkt über die Account-Daten in iTunes (Store/Meinen Account anzeigen/Apple ID/bearbeiten) oder alternativ über die Website appleid.apple.com. Auch wenn es bei häufiger Eingabe auf der virtuellen iPhone-Tastatur unbequem ist, sollte man ein möglichst sperriges Passwort wählen, das sich keinesfalls erraten lässt. Apple setzt inzwischen mindestens acht Zeichen und eine Mischung aus Groß- und Kleinbuchstaben voraus – nennt ein Passwort aber erst mit mehr als zwanzig Zeichen "solide".
Wer Schwierigkeiten hat, sich ein komplexes Passwort zu merken, kann zu einem Trick greifen: Dafür kombiniert man Anfangsbuchstaben und Zahlen eines ganz individuellen Satzes – aus dem fiktiven Satz "Seit dem 9. November habe ich mein neues MacBook, jetzt sind es zwei" wird dann etwa das Passwort: "Sd911himnM,jse2". Wichtig ist auch, ein spezifisches Passwort jeweils nur für einen Account zu nutzen und nicht für mehrere verschiedene Angebote. Beim Bewältigen der Flut unterschiedlicher Passwörter helfen plattformübergreifende Tools wie 1Password.
Im nächsten Schritt sollten sich betroffene Nutzer an den iTunes-Support wenden, um das unrechtmäßig abgebuchte Geld zurückzufordern. Bereits im E-Mail-Beleg kann man "ein Problem melden" – dies führt dann zum eigenen Account in iTunes und einem Dialogfeld, das die Schilderung des Falles erlaubt. Alternativ führt der Weg über die eigenen Account-Daten in der iTunes-Anwendung, dort sind unter “Einkaufsstatistik” alle Käufe und Downloads aufgelistet. Darunter ist ein Button zur Problemmeldung zu finden. Ist iTunes nicht zur Hand, bleibt der Weg über einen Browser und Apples Support-Seiten, um den iTunes-Support zu informieren.
Erfreulicherweise sind in diesen Fällen meist keine langwierigen Diskussionen mit Apple-Supportmitarbeitern vonnöten – die Rückerstattung des von Fremden ausgegebenen Geldbetrages klappt nach unseren Erfahrungen innerhalb weniger Tagen. Wer ClickandBuy als Zahlungsmittel für seinen App-Store-Account nutzt und die Zahlung des fremdgetätigten Einkaufs direkt von seiner Bank stornieren lässt, muss allerdings damit rechnen, dass iTunes den Account sperrt. Es empfiehlt sich daher, zuerst mit dem iTunes-Support Kontakt aufzunehmen, bevor der Zahlungsdienstleister ClickandBuy oder die eigene Bank kontaktiert wird. So das überhaupt nötig ist.
In einigen länger zurückliegenden Fällen stellte ClickandBuy manchem Nutzer angeblich auch Gebühren in Rechnung, wenn dieser das von Apple zurückgebuchte Geld von seinem ClickandBuy-Konto wieder auf das eigene Bankkonto übertrug – inzwischen erfolgt aber offenbar eine automatische Gutschrift für die Buchungsgebühren.
Die Fremdkäufe scheinen nahezu ausschließlich iTunes-Nutzern zu widerfahren, die entweder ClickandBuy (bei einem US-Account Paypal) oder aber Guthaben aus iTunes-Karten zur Bezahlung von Einkäufen im iTunes- oder App Store verwenden. Ist dagegen eine Kreditkarte im eigenen (guthabenfreien) iTunes-Account als Zahlungsmittel hinterlegt, treten die ungewollten In-App-Abbuchungen nach unserer Kenntnis nicht auf. Wenn der App Store erkennt, dass ein Einkauf erstmals mit neuer oder fremder Hardware getätigt wird, dann verlangt Apple seit Sommer 2010 nach dem Sicherheitscode der Karte. Gibt der Nutzer diesen ein, verknüpft Apple den iTunes-Account mit der Geräte-ID und hakt bei anschließenden Käufen nicht mehr nach. Ohne Kenntnis des Codes ist kein Kauf möglich.
Alles deute darauf hin, dass Dritte gestohlene iTunes-Zugangsdaten für In-App-Einkäufe in iOS-Spielen nutzen, erklärte Sega bereits im Mai 2011 im hauseigenen Forum. Man untersuche diese Fälle weiterhin, so der Spielehersteller, der für Abrechnungsfragen aber auf Apple verweist – alle In-App-Käufe laufen ausschließlich über die Zahlungsschnittstelle des iPhone-Herstellers. Sega Deutschland sei bislang kein Fall bekannt, in dem die Opfer ihr Geld nicht zurückerhalten hätten, betonte ein Pressesprecher gegenüber Mac & i.