Wer in die USA als Geschäftsreisender oder Tourist einreisen möchte, der muss im Rahmen des sog. Visa Waiver Program auf der Website des U.S. Department of Homeland Security eine elektronische Reisegenehmigung beantragen. Üblicherweise erhält man schon binnen weniger Minuten – m.E. automatisiert – eine Reisegenehmigung. Die Informationen, die das Electronic System for Travel Authorization – kurz ESTA – abfragt, entsprechen im Wesentlichen dem alten Einreiseformular (I-94W).
Da sich das elektronische Formular hinter einem komplizierten Domain-Adresse verbirgt, greifen die meisten Reisenden (wie üblich) auf Google zurück. Das Suchstichwort “ESTA” führt bei Google zunächst zu 3 bezahlten Addword-Anzeigen, die auf Seiten wie “ESTA – USA Reisegenehmigungsdienst” oder “ESTA gov – Electronic System for Travel Authorization” verweisen. Damit das Ganze auch schön offiziell wirkt, werden noch “US-Logos” der Marke Eigenbau auf den Seiten angezeigt. Besonders perfide ist das Ganze bei ”ESTA gov” gestaltet. Eine Anbieterkennzeichnung sucht man i.d.R. vergeblich, bestenfalls stößt man bei der Recherche auf den Namen einer Ltd. oder eine E-Mail-Adresse. Auf einigen Seiten lässt sich gut versteckt der Hinweis finden, man habe mit der “US-Regierung” nichts zu tun.
Die Daten, die auf diesen Seiten abgefragt werden, stimmen im Wesentlichen mit den Abfragen des offiziellen ESTA-Formulars überein (nur die deutsche Übersetzung ist schlechter). Einige dieser “Phishing-Sites” stellen sogar einen “Antrag” für den abgephishten Reisenden. Sie leiten die eingegebenen Daten einfach 1:1 weiter, denn das (offizielle) elektronische ESTA-Formular erlaubt eine Antragsstellung für Dritte (z.B. durch Familienmitglieder oder Reisebüros). Der html-Output des offiziellen Formulars wird dann mit der Vorgangsnummer an die E-Mail-Adresse des gephishten “Antragstellers” weitergeleitet. Andere widerrum müllen den “Antragssteller” nur mit PDF-Dokumenten zu, die eine “Ausfüllhilfe” für das offizielle Formular in gebrochenem Deutsch enthalten.
Im Unterschied zur Original-ESTA-Seite fragen die “ESTA Vermittler” am Ende allerdings noch eine Kreditkarte ab und suggerieren, dass die Einreisegenehmigung von einer Bearbeitungsgebühr zwischen 40 – 50 US $ abhängt.
Die ESTA-Genehmigung ist kostenlos. Das Originalformular lässt sich sogar viel einfacher ausfüllen als die “Fälschungen”. Rechtlich gesehen, ist diese Form von “Dienstleistung” nach meinem Dafürhalten ein klarer Betrug(-sversuch), jedenfalls wenn sich die Anbieter einen offiziellen Anstrich verpassen, nicht ihre Identität als “Vermittler“ deutlich zu erkennen geben und dem Antragsteller vorspielen, es handle sich um eine Ministeriums-Website der Vereinigten Staaten. An keiner Stelle findet sich der Hinweis, dass die Nutzung des offiziellen ESTA-Formulars (in allen Landessprachen) kostenlos ist.
Da die WebPhishing-Filter der meisten Virenschutzpakete die fraglichen Seiten allesamt als vertrauenswürdig einstufen, fallen jeden Tag viele (erstmalige) US-Reisende auf diese “Anbieter” herein. Lässt sich ein Anbieter ausmachen, stellt sich schnell heraus, dass sich dieser irgendwo im Ausland hinter einer Ltd. versteckt. Nicht nur dass es schmerzt, dass dort sämtliche (sensible) personenbezogenen Daten abgelegt wurden, im weiteren Verlauf müssen sich die Antragsteller mit ihrer Bank auseinandersetzen, welche die Kreditkarte ausgestellt hat. Ungeachtet einer etwaigen (ex tunc) Nichtigkeit des “Vermittlungsvertrags” nach Anfechtungserklärung, stellt sich die Bank regelmäßig auf den Standpunkt, der Kunde habe die Daten “bewusst” im Zusammenhang mit der ESTA-Zahlungsaufforderung eingegeben. Hilfsweise erfolgt der Hinweis auf die 50,- € Haftungs-Eigenbeteiligung bei Missbrauch (zufällig übersteigen die “ESTA Gebühren” diese Summe nicht), alternativ wird auf die ”Pflicht zur sorgfältigen Aufbewahrung der Kreditkarten-Daten” verwiesen. Die meisten Betroffenen geben irgendwann entnervt auf.
