Sicherheitslücke Betrüger bedienen sich in Ebay-Datenbanken

Ein neuer Betrugstrick kann Ebay-Käufer teuer zu stehen kommen. Die Täter können direkt auf interne Datenbanken des Auktionshauses zugreifen und sich so E-Mail-Adressen und Daten über den Wohnort aktuell Bietender verschaffen. Die werden dann gezielt angesprochen - und ausgenommen.

Von und


Der Mechanismus funktioniert beängstigend gut. Und er macht es möglich, völlig automatisiert sehr echt aussehende E-Mails zu verschicken, die unterlegenen Bietern nach verlorener Auktion Hoffnung machen: "Ich habe gesehen, dass Sie bei meiner Auktion mitgeboten haben. Umständen zufolge, die sich meiner Kontrolle entziehen, muss ich die Ware so schnell wie möglich verkaufen. Ich habe mir erlaubt, eine direkte Ebay-Transaktion unter Squaretrader-Überwachung einzuleiten." Die Ware müsse nur noch bezahlt werden. Die Post kommt an die eigene E-Mail-Adresse - und wenn man dem Link zur "Zahlungsabwicklung" folgt, steht dort schon der eigene Wohnort und die eigene Postleitzahl.

Wer auf die Lockmail und die gefälschte Seite hereinfällt, die zwar täuschend echt aussieht, aber eine für Ebay eher merkwürdige URL hat - der wird aufgefordert, die glücklich erstandene Ware mit einer Western-Union-Transaktion zu bezahlen. So kommt das Geld der ahnungslosen vermeintlichen Käufer zwar bei den Betrügern an, aber es kann nicht nachvollzogen werden, wo es hingegangen ist.

Mit einem Skript, das auf einer offen zugänglichen Webseite für jedermann abrufbar ist, sind die notwendigen Daten für solche Aktionen kinderleicht zu bekommen. Man braucht nur die Transaktionsnummer einer bestimmten Auktion in ein Fenster zu kopieren, auf "Start" zu klicken, schon werden die Betrüger-E-Mails an die unterlegenen Bieter geschickt. Das dürfte gar nicht möglich sein, denn die Mail-Adressen sollten innerhalb des Ebay-Systems nicht offengelegt werden.

Betrugssystem von Nutzern aufgedeckt

Der Betrügertrick kommt aber nicht nur an die E-Mail-Adressen heran, sondern ordnet einem Ebay-Namen eines ahnungslosen Opfers auch noch dessen Wohnort und Postleitzahl zu. Die ganze Kette steht jedem, der die richtigen Web-Adressen kennt, vollkommen offen.

SPIEGEL ONLINE hat das System ausprobiert und Test-Betrugsmails an Redakteure verschickt. Von Ebay war bis zum Abend kein Kommentar zum Thema zu erhalten.

Aufgedeckt haben den Betrugsmechanismus die Mitglieder der privaten Initiative Falle-Internet.de. Die Gruppe besteht aus Nutzern, die sich über Ebay-Foren kennengelernt haben und nun gemeinsam im Netz auf Verbrecherjagd unterwegs sind, um aufzuklären und vor Betrugsversuchen zu warnen.

Nach Einschätzung von Falle-Internet.de gibt es verschiedene Betrügergruppen, die auf die offen zur Verfügung stehenden Skripte zugreifen. Die Köder-Mails würden in verschiedenen Sprachen verschickt. Die Betrüger versuchten einander bei hochpreisigen Auktionen so verzweifelt zu überflügeln, dass die vermeintlichen Sofort-Kauf-Angebote noch vor dem Ende der Auktionen versandt werden.

Ebay Deutschland wartet auf Anweisungen aus den USA

Den Zweitplatzierten einer Auktion zu kontaktieren, um ihm ein vermeintlich lohnendes, in Wirklichkeit aber betrügerisches Angebot zu machen, sei "eine gängige Betrugspraxis", sagt ein Mitglied von Falle-Internet.de. Die automatisierte und flächendeckende Ansprache solcher unterlegenen Bieter wird aber erst durch offenkundige Lücken im Ebay-Sicherheitssystem möglich.

Bei Ebay ist man sich der Lücke offenbar durchaus bewusst - auch weil in den Foren des Auktionshauses schon heftig darüber debattiert wird. Eine Stellungnahme oder gar Ankündigung von Gegenmaßnahmen gibt es bislang nicht. Aus der Deutschland-Zentrale erfuhr SPIEGEL ONLINE am Montagabend nur, man warte auf Nachricht aus dem US-Mutterhaus.

Für Ebay-Nutzer ergibt sich aus der Betrugsmasche eine schlichte Vorsichtsmaßnahme. Wenn Sie ein Angebot erhalten, das angeblich von einem Anbieter stammt, von dem Sie eben etwas ersteigern wollten: Ignorieren Sie es am besten, oder gehen Sie zumindest sehr vorsichtig damit um. Kontaktieren Sie den tatsächlichen Anbieter über die Ebay-interne Kommunikationsfunktion und fragen Sie ihn, ob er Sie tatsächlich angeschrieben hat. Wenn nicht, melden Sie den Vorfall Ebay.



Forum - Ihre Erfahrungen mit Ebay?
insgesamt 667 Beiträge
Alle Kommentare öffnen
Seite 1
Scaithy, 11.05.2007
1.
Woran eBay meiner Meinung nach krankt, ist das Bewertungssystem. Bewertungen sind Handelswaren nach dem Motto: Bewertest Du mich gut, bewerte ich Dich auch gut. Oder halt umgekehrt. Deswegen traut sich kaum jemand, schlechte Bewertungen abzugeben aus Angst vor einer schlechten Gegenbewertung. Und leider ist es auch so, dass regelmässig vom Käufer zuerst eine Bewertung erwartet wird, bevor der Verkäufer bewertet. Eigentlich unlogisch, wenn man bedenkt, dass der Käufer ja zuerst seine Leistung erbracht hat. Auch dass eBay grundsätzlich keine Bewertungen löscht, selbst wenn man nachweisen könnte, dass sie falsch sind, halte ich für eine Schwäche. Hier muss eBay dringend noch etwas tun, um an der Glaubwürdigkeit der Bewertungen zu arbeiten. Insgesamt ist die Plattform für mich uninteressanter geworden, seit vermehrt Händler auf eBay verkaufen.
Klo, 11.05.2007
2.
Zitat von ScaithyWoran eBay meiner Meinung nach krankt, ist das Bewertungssystem. Bewertungen sind Handelswaren nach dem Motto: Bewertest Du mich gut, bewerte ich Dich auch gut. Oder halt umgekehrt. Deswegen traut sich kaum jemand, schlechte Bewertungen abzugeben aus Angst vor einer schlechten Gegenbewertung. Und leider ist es auch so, dass regelmässig vom Käufer zuerst eine Bewertung erwartet wird, bevor der Verkäufer bewertet. Eigentlich unlogisch, wenn man bedenkt, dass der Käufer ja zuerst seine Leistung erbracht hat. Auch dass eBay grundsätzlich keine Bewertungen löscht, selbst wenn man nachweisen könnte, dass sie falsch sind, halte ich für eine Schwäche. Hier muss eBay dringend noch etwas tun, um an der Glaubwürdigkeit der Bewertungen zu arbeiten. Insgesamt ist die Plattform für mich uninteressanter geworden, seit vermehrt Händler auf eBay verkaufen.
Dem stimme ich zu. Rachebewertungen gibt es immer wieder, selbst wenn ein bezahlter Artikel nie abgeschickt wurde und versicherter Versand vereinbart wurde. Dies sollte bestraft werden als Bewertungsmißbrauch.
donemile, 11.05.2007
3. Ebay ist gut
Als erfahrener Nutzer von Ebay, ich bin seit 1999 dabei, würde ich sagen im Allgemeinen nicht schlecht. Verbesserungen sind immer möglich. Werden auch durchgeführt. Wenns nicht für die Leute nützlich wäre, hätte es mit Sicherheit nicht so einen Erfolg und das schon über Jahre.
Heulboje, 11.05.2007
4. Naja
Als ich damals mit ebay anfing war ich restlos begeistert. Mittlerweile hab ich das Gefühl, es sind viel mehr Händler unterwegs und viel weniger Privatmenschen. Oder täuscht mich da was? Zumindest in meinen Lieblingsbereichen haeb ich schon den Eindruck.
**Kiki** 11.05.2007
5.
Zitat von HeulbojeAls ich damals mit ebay anfing war ich restlos begeistert. Mittlerweile hab ich das Gefühl, es sind viel mehr Händler unterwegs und viel weniger Privatmenschen. Oder täuscht mich da was? Zumindest in meinen Lieblingsbereichen haeb ich schon den Eindruck.
Mein Eindruck ist auch, daß der Anteil der Privatverkäufer immer weiter abnimmt, aber das wundert mich auch nicht. Für Privatverkäufer lohnt sich die Sache schon seit der vorletzten Gebührenerhöhung nicht mehr. Ich habe Anfang des Jahres bei der letzten Aktion mit reduzierten Einstellgebühren ein paar Sachen eingestellt, aber wenn ich den Zeitaufwand für das Einstellen, Beantworten von Mails, Sendungen fertigmachen, Konto im Auge behalten, den Krempel zur Post bringen und am Ende Bewerten mit dem Betrag in Relation setze, der am Ende nach Abzug der gesalzenen Gebühren rübergekommen ist: Das hätte ich mir im Grunde auch sparen können. Leider taugen die kostenlosen Konkurrenzplattformen allerdings noch weniger. Schade drum. Ich war übrigens eBay-Mitglied schon zu Zeiten, als es noch Alando hieß. Ja, ja, die gute alte Zeit ...
Alle Kommentare öffnen
Seite 1
Diskussion geschlossen - lesen Sie die Beiträge! zum Forum...

© SPIEGEL ONLINE 2007
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.