Vorsicht: Neue Betrugsmasche bei e-bay!

  • Ersteller bassterix
  • Erstellt am
bassterix
bassterix
Mod Emeritus
Ex-Moderator
Zuletzt hier
03.07.22
Registriert
15.12.04
Beiträge
3.573
Kekse
5.681
Ort
Where I lay my head is home
Der Spiegel schrieb gestern:

Betrüger bedienen sich in Ebay-Datenbanken

Von Christian Stöcker und Frank Patalong

Ein neuer Betrugstrick kann Ebay-Käufer teuer zu stehen kommen. Die Täter können direkt auf interne Datenbanken des Auktionshauses zugreifen und sich so E-Mail-Adressen und Daten über den Wohnort aktuell Bietender verschaffen. Die werden dann gezielt angesprochen - und ausgenommen.

Der Mechanismus funktioniert beängstigend gut. Und er macht es möglich, völlig automatisiert sehr echt aussehende E-Mails zu verschicken, die unterlegenen Bietern nach verlorener Auktion Hoffnung machen: "Ich habe gesehen, dass Sie bei meiner Auktion mitgeboten haben. Umständen zufolge, die sich meiner Kontrolle entziehen, muss ich die Ware so schnell wie möglich verkaufen. Ich habe mir erlaubt, eine direkte Ebay-Transaktion unter Squaretrader-Überwachung einzuleiten." Die Ware müsse nur noch bezahlt werden. Die Post kommt an die eigene E-Mail-Adresse - und wenn man dem Link zur "Zahlungsabwicklung" folgt, steht dort schon der eigene Wohnort und die eigene Postleitzahl.

Wer auf die Lockmail und die gefälschte Seite hereinfällt, die zwar täuschend echt aussieht, aber eine für Ebay eher merkwürdige URL hat - der wird aufgefordert, die glücklich erstandene Ware mit einer Western-Union-Transaktion zu bezahlen. So kommt das Geld der ahnungslosen vermeintlichen Käufer zwar bei den Betrügern an, aber es kann nicht nachvollzogen werden, wo es hingegangen ist.

Mit einem Skript, das auf einer offen zugänglichen Webseite für jedermann abrufbar ist, sind die notwendigen Daten für solche Aktionen kinderleicht zu bekommen. Man braucht nur die Transaktionsnummer einer bestimmten Auktion in ein Fenster zu kopieren, auf "Start" zu klicken, schon werden die Betrüger-E-Mails an die unterlegenen Bieter geschickt. Das dürfte gar nicht möglich sein, denn die Mail-Adressen sollten innerhalb des Ebay-Systems nicht offengelegt werden.

Betrugssystem von Nutzern aufgedeckt

Der Betrügertrick kommt aber nicht nur an die E-Mail-Adressen heran, sondern ordnet einem Ebay-Namen eines ahnungslosen Opfers auch noch dessen Wohnort und Postleitzahl zu. Die ganze Kette steht jedem, der die richtigen Web-Adressen kennt, vollkommen offen.

SPIEGEL ONLINE hat das System ausprobiert und Test-Betrugsmails an Redakteure verschickt. Von Ebay war bis zum Abend kein Kommentar zum Thema zu erhalten.

Aufgedeckt haben den Betrugsmechanismus die Mitglieder der privaten Initiative Falle-Internet.de. Die Gruppe besteht aus Nutzern, die sich über Ebay-Foren kennengelernt haben und nun gemeinsam im Netz auf Verbrecherjagd unterwegs sind, um aufzuklären und vor Betrugsversuchen zu warnen.

Nach Einschätzung von Falle-Internet.de gibt es verschiedene Betrügergruppen, die auf die offen zur Verfügung stehenden Skripte zugreifen. Die Köder-Mails würden in verschiedenen Sprachen verschickt. Die Betrüger versuchten einander bei hochpreisigen Auktionen so verzweifelt zu überflügeln, dass die vermeintlichen Sofort-Kauf-Angebote noch vor dem Ende der Auktionen versandt werden.

Ebay Deutschland wartet auf Anweisungen aus den USA

Den Zweitplatzierten einer Auktion zu kontaktieren, um ihm ein vermeintlich lohnendes, in Wirklichkeit aber betrügerisches Angebot zu machen, sei "eine gängige Betrugspraxis", sagt ein Mitglied von Falle-Internet.de. Die automatisierte und flächendeckende Ansprache solcher unterlegenen Bieter wird aber erst durch offenkundige Lücken im Ebay-Sicherheitssystem möglich.

Bei Ebay ist man sich der Lücke offenbar durchaus bewusst - auch weil in den Foren des Auktionshauses schon heftig darüber debattiert wird. Eine Stellungnahme oder gar Ankündigung von Gegenmaßnahmen gibt es bislang nicht. Aus der Deutschland-Zentrale erfuhr SPIEGEL ONLINE am Montagabend nur, man warte auf Nachricht aus dem US-Mutterhaus.

Für Ebay-Nutzer ergibt sich aus der Betrugsmasche eine schlichte Vorsichtsmaßnahme. Wenn Sie ein Angebot erhalten, das angeblich von einem Anbieter stammt, von dem Sie eben etwas ersteigern wollten: Ignorieren Sie es am besten, oder gehen Sie zumindest sehr vorsichtig damit um. Kontaktieren Sie den tatsächlichen Anbieter über die Ebay-interne Kommunikationsfunktion und fragen Sie ihn, ob er Sie tatsächlich angeschrieben hat. Wenn nicht, melden Sie den Vorfall Ebay.

EBAY-BETRUG: SO LÄUFT DER DATENWEG
Die Täter hinter dem Betrugs- Skript, mit dem derzeit Adressen aus Ebay abgefischt werden, versenden ihre Daten über ein Forschungsnetzwerk in Luxemburg. Obwohl die Daten über ein Hochgeschwindigkeitsnetz laufen, verhalten sie sich teils erratisch, der Datenfluss ist ungewöhnlich zäh. Ausgangspunkt ist scheinbar eine technische Berufsschule, was aber durchaus täuschen könnte: Wahrscheinlicher ist, dass sich die Täter auf den dortigen Servern eingehackt haben und ihren Datenverkehr nur darüber routen. Zugangspunkt ist möglicherweise ein mit dem Luxemburger Forschungsnetz verbundener Rechner in Großbritannien.

Darauf deutet auch die Betrugsseite hin, über die die Opfer der Masche ihre angeblichen Käufe abwickeln sollen. Dieser Server steht in England und gehört keinem Freehoster, wo jeder Daten ablegen kann: Die Seite ist angebunden an eine Serviceseite, über die zahlende Kunden ihre Web- Accounts verwalten können. Zumindest dem dortigen Provider liegen also auch Namen vor - ob diese allerdings echt sind, sei dahingestellt.

Nicht auszumachen ist bisher jedenfalls, ob die Namen der beiden Begünstigten der betrügerischen Überweisungen echt sind oder nicht. Hier sind nicht nur Identitäten genannt, sondern auch vollständige Adressen - das schafft fehlgeleitetes Vertrauen. Die großen Telefonverzeichnisse kennen keine Personen, die die angegebenen Namen trugen. Auch die Websuche verläuft im Sand, wenn man so will - oder präziser im Mutterboden: Zwei Personen, die die angegebenen Namen trugen, lebten offenbar in London im 19. Jahrhundert.

Alles deutet also auf ein mehrstufiges Betrugsmanöver hin, mit dem die Täter ihre Spuren recht effektiv verwischen. Ein wichtiges Indiz ihrer Herkunft liefern sie trotzdem. Die Skriptmaske selbst, die SPIEGEL ONLINE vorlag und von uns getestet wurde, ist in einer klar identifizierbaren Sprache beschriftet: Rumänisch.

pat

Ich erhielt letzte Woche ebenfalls eine solche e-mail, also seid vorsichtig!

Edit:
E-bay empfiehlt hier: http://pages.ebay.de/help/confidence/spoof-email.html#reporting
Leiten Sie verdächtige E-Mails an spoof@ebay.de, spoof@ebay.at oder spoof@ebay.ch weiter.
 
Eigenschaft
 
gut zu wissen werd mal n bissle vorsichtiger in der bucht rumfummeln.....

Dickes Danke!
 
An alle: Überall, wo eine Western-Union-Bezahlung gefordert wird, HÖCHSTE VORSICHT walten lassen. Das ist ein Bezahlungsinstrument, das auch gern zur Geldwäsche benutzt wird. Überhaupt kann man Second Offerings zu 90 Prozent als Scam abtun ...
 
Jetzt erhalte ich schon solche Angebote von Auktionen, auf die ich gar nicht geboten hatte. :eek:

Ich brauch keinen Nerzmantel, ehrlich. :D
 
Jaja....jetzt kommts raus....bassterix ist Fellfetischist!!!
 
Ich habe letztens bei einem Fender Jazz Bass bei eBay mitgeboten und bekam so eine Nachricht nach dem Ende der Auktion.

Wenn man auf den Link geklickt hat, kam eine 1:1-Kopie der eBay-Website, wo man nur noch auf einen Sofort-Kaufen-Button klicken konnte (Hab ich natürlich nicht gemacht). Die URL der Seite sah schon ziemlich verdächtig aus. Hab die Email leider nicht mehr, sonst könnte ich den Text posten.

Gruß
Schaechtele
 
Wenn man auf den Link geklickt hat, kam eine 1:1-Kopie der eBay-Website, wo man nur noch auf einen Sofort-Kaufen-Button klicken konnte (Hab ich natürlich nicht gemacht).
E-Bay empfielt auf keine Links in solchen Mails zu klicken sondern sie an die obige Adresse weiterzuleiten und sie anschliessend zu löschen.
 
Dass Ebay den Schutz von Kundendaten offenbar überhaupt nicht im Griff hat, ist schon starker Tobak. Zumindest Phishing-Mails sind mir aber bislang erpart geblieben. Ich habe bisher erst ein- oder zweimal ein Angebot an unterlegene Bieter erhalten. Die Abwicklung klappte dann auch einwandfrei.
 
Quelle: Der Spiegel
SICHERHEITSLÜCKE
Kriminelle können Daten von eBay-Kunden ausspähen

Von Konrad Lischka

Cyber-Gauner können über präparierte eBay-Auktionen persönliche Details eingeloggter Betrachter abgreifen, ein bloßer Aufruf des Angebots genügt. eBay weiß seit drei Monaten von dem Problem, spricht der Lücke aber "praktische Relevanz" ab – man wehre solche Attacken ab.

Das ging erschreckend schnell: Eben noch hat ein SPIEGEL-ONLINE-Redakteur bei eBay eingeloggt und die scheinbar harmlose Beschreibungsseite eines Artikel betrachtet, eine Minute später konnte er auf einem Server im Internet persönliche Daten aus seinem eBay-Profil nachlesen.

Über das bloße Betrachten der manipulierten Artikelbeschreibung hat die Schadsoftware diese Details ausgespäht:

* Klarnamen
* Anschrift
* E-Mail-Adresse
* die Passwort-Sicherheitsfrage
* die Liste aller in seinem eBay-Profil gespeicherten Suchfragen
* Bankdaten für das Lastschriftverfahren (größtenteils unkenntlich)
* Kreditkarten-Daten (nur wenige Ziffern)

Besonders fies: Bietet man bei der manipulierten Auktion mit, späht die Schadsoftware das eBay-Passwort aus. Folge: Der eigene Account steht den Hintermännern zur freien, womöglich kriminellen Verfügung. Zum Glück steckte hinter der von SPIEGEL ONLINE getesteten Schnüffel-Auktion die Verbraucherinitiative Falle-Internet. Die Verantwortlichen kommentieren ihre Demonstration der Sicherheitslücke so: "Diese sensiblen Informationen können von Betrügern leicht dazu verwendet werden, den ahnungslosen Opfern gefälschte Angebote zukommen zu lassen."

Mit den über die demonstrierte Lücke abgegriffenen Daten könnten Kriminelle so Geld ergaunern: Sie schicken eBay-Kunden, die eben als Bieter bei einer Auktion verloren haben, eine E-Mail mit einem täuschend echt wirkenden Angebot an den "unterlegenen Bieter". Wenn der Käufer einen Link anklickt und bezahlt, wähnt er sich auf einer eBay-Seite, gibt seine Kreditkartennummer aber tatsächlich auf einem Server der Gangster ab.

Sicherheitslücke riskant, aber kein Desaster

Wegen der demonstrierten Sicherheitslücke in eBay-Panik zu verfallen, ist aber nicht angemessen. Die Sache ist etwas komplizierter. Es wird nicht jede eBay-Auktionsseite zur potentiellen Gefahr, es gibt kein Daten-Desaster durch bloße eBay-Nutzung. In Sicherheit sollte man sich aber nicht wiegen.

Zum Hintergrund: Die Sicherheitslücke entsteht durch eingebettetes Flash in einer Artikelbeschreibung. Sprich: Jedes eBay-Mitglied, auf dessen Rechner ein Flash-Plugin installiert ist (fast jeder Rechner) und JavaScript zugelassen ist, kann zum Opfer solch eines Angriffs werden. Das gibt auch eBay-Sprecherin Maike Fuest zu: "Es ist grundsätzlich möglich, über aktive Inhalte wie Flash und Javascript in Auktionsbeschreibungen Schadsoftware einzuschleusen."

eBay erlaubt nur wenigen Anbietern aktive Inhalte

Warum eBay dann solche aktiven Inhalte nicht in Auktionstexten verbietet? Fuest: "Das würde der eBay-Kultur widersprechen. Wir wollen unseren Verkäufern bei der Gestaltung ihrer Auktionen eine gewisse Gestaltungsfreiheit geben." eBay gehe daher einen anderen Weg, um das Risiko von Schadcode in aktiven Inhalten auszuschließen. Fuest: "Seit September 2005 dürfen nur bestimmte, besonders vertrauenswürdige Mitglieder solche aktiven Inhalte in ihren Artikelbeschreibungen nutzen. Allen anderen ist es nicht möglich, Artikel mit aktiven Inhalten einzustellen."

Die Bedingungen laut eBay:

* Powerseller-Status oder
* per Postident geprüfte Identität oder
* ein verifizierter Paypal-Account oder
* 500 positive Bewertungen und mehr als 500 Tage eBay-Mitgliedschaft.

Die von SPIEGEL ONLINE getestete manipulierte Auktion wurde tatsächlich von einem Konto mit verfiziertem Paypal-Account eingestellt. Sprich: Die Schutzmaßnahmen, die das Auktionshaus anführt, wurden nicht umgangen - sie greifen derzeit.

Deshalb ist sich eBay auch sicher, so Sprecherin Fuest, mit dieser Filterpolitik "größtmögliche Sicherheit zu garantieren". Die von Falle-Internet demonstrierte Sicherheitslücke habe daher "keine praktische Relevanz für die Plattform. Es ist möglich, solchen Schadcode einzuschleusen, aber es ist eben nur Mitgliedern möglich, die so etwas nicht tun würden."

Markus Schwinn, Webmaster von Falle-Internet widerspricht: "Natürlich ist diese Sicherheitslücke nicht nur eine theoretische, sondern eine handfeste Gefahr. Warum sollten Kriminelle nicht eBay-Accounts übernehmen, die solche Kriterien erfüllen?"

eBay-Sprecherin Fuest bestreitet nicht, dass manchmal eBay-Accounts argloser Mitglieder durch Software-Angriffe von Kriminellen übernommen werden: "Ja, es gibt solche Fälle. Aber wir erkennen solchen Missbrauch in mehr als 95 Prozent aller Fälle, bevor ein Schaden entsteht." Und wie kommen die Cyber-Kriminellen an die Account-Daten? Gibt es Lücken in den eBay-Datenbanken? Sprecherin Fuest: "Nein. Solche Daten werden durch die Versendung gefälschter E-Mails, die beispielsweise einen Trojaner enthalten oder auch durch das Erraten von Passwörtern abgegriffen."

Sicherheitslücke seit Monaten bekannt

eBay vertraut darauf, dass nur seriöse Anbieter aktive Inhalte in Artikelbeschreibungen einstellen können. Das erklärt vielleicht, warum sich die Gespräche mit Falle-Internet so lange hingezogen haben. Markus Schwinn, Webmaster von Falle-Internet, erklärt: "Am 7. Dezember haben wir in einer E-Mail an eBay die Sicherheitslücke genau dokumentiert und Lösungsvorschläge zur Beseitigung unterbreitet."

In dem SPIEGEL ONLINE vorliegenden Schreiben beschreibt Falle-Internet in der Tat detailliert die Methode, mit der eine Flash-Animation in der Artikelbeschreibung private Daten der Kaufinteressenten unbemerkt abruft. Auf diese E-Mail reagierte ein eBay-Mitarbeiter, bedankte sich für die "übermittelten Informationen" und bot an, die Arbeit der bei Falle-Internet beteiligten Personen auf ein "strafrechtlich sauberes Fundament zu stellen". Der eBay-Mitarbeiter verwies auf "strafrechtliche Konsequenzen", die sich möglicherweise aus "§ 202c Abs. 1 Nr. 2 StGB ergeben" könnten. Das ist der sogenannte Hacker-Paragraph. (mehr...)

Eine Drohung? Keinesfalls, stellt eBay-Sprecherin Fuest klar: "Natürlich müssen wir darauf hinweisen, dass der Einsatz von Schadsoftware auf unserer Plattform strafrechtliche Konsequenzen haben kann. Aber wir haben kein Interesse daran, eine Gruppe wie Falle-Internet zu kriminalisieren, wir sind an einer guten Zusammenarbeit interessiert."

Konkrete Ergebnisse hatte die Zusammenarbeit bislang nicht. Markus Schwinn von Falle-Internet erklärt: "Es gab am 17. Dezember ein Treffen in der eBay-Zentrale." Danach habe man Anfang Januar noch einmal mit eBay telefoniert. Aber, so Schwinn: "Die Sicherheitslücke besteht immer noch. Es sind jetzt drei Monate vergangen und nichts ist passiert. Deshalb gehen wir an die Öffentlichkeit."
 

Ähnliche Themen


Unser weiteres Online-Angebot:
Bassic.de · Deejayforum.de · Sequencer.de · Clavio.de · Guitarworld.de · Recording.de

Musiker-Board Logo
Zurück
Oben