Wie kapern Betrüger Mitgliedskonten
auf Auktionsplattformen?
Geändert am 24.02.2008
Methode: Spoof-Mails (Phishing-Mails)
Es werden sogenannte Spoof-Mails an Mitglieder von Auktionsplattformen verschickt. Diese Spoof-Mails sind immer so aufgebaut, dass sie den Anschein erwecken, sie kämen von den entsprechenden Auktionsplattformen selbst oder sie wären über das Kontaktsystem dieser Auktionsplattformen verschickt worden.
Fast allen Spoof-Mails gemeinsam ist, dass sie eine Schaltfläche oder Verweise (Links) enthalten, die scheinbar zu der Einloggseite der Auktionsplattformen führen. Wenn aber jemand sorglos die entsprechende Schaltfläche oder einen der entsprechenden Verweise anklickt, so landet er in Wirklichkeit auf einer betrügerischen Internetseite, auf der dann seine persönlichen Einloggdaten der entsprechenden Auktionsplattform für betrügerische Zwecke abgegriffen werden.
Um die Empfänger der Spoof-Mails auch wirklich dazu zu bewegen, die in den Spoof-Mails enthaltenen Schaltflächen oder Verweise anzuklicken, sind diese meist sehr phantasiereich gestaltet. Manche sind als Anfrage getarnt, andere Zahlungsaufforderung, als Kauf- oder Verkaufsangebot, Auszeichnung, Gewinn, Umfrage, usw.. Gerne werden in Spoof-Mails auch Restriktionen angekündigt, die zu schnellen Reaktionen animieren sollen. Beispiele für Spoof-Mails, die auf die Kaperung von Mitgliedskonten bei eBay abzielten:
Beispiel für eine Spoof-Mail, in der scheinbar Restriktionen bei eBay angekündigt werden.
Beispiel für eine Spoof-Mail, die scheinbar von einem Mitglied bei eBay über das Kontaktsystem des Marktplatzes verschickt wurde. Diese Spoof-Mail enthält den sogenannten „Yellow Button“ (Jetzt antworten) der Kontakt-E-Mails des Marktplatzes, der in Spoof-Mails überaus erfolgreich eingesetzt wird.
Eine nicht so häufige Sonderform von Spoof-Mails enthält Formularfelder (Eingabefelder), in die die Empfänger ihre persönlichen Daten eingeben sollen. Ein Beispiel für eine Spoof-Mail mit Formularfeldern (als Gewinnspiel getarnt):
Spoof-Mails, die auf die Kaperung von Mitgliedskonten bei eBay abzielen, gibt es in vielen Sprachen.
Spoof-Mails sind außerordentlich erfolgreich, es besteht also deutlicher Aufklärungsbedarf. Die Beobachtung einiger gefälschter Einloggseiten (betrügerischer Internetseiten), bei denen Zugangsdaten zu Mitgliedskonten bei eBay abgegriffen wurden, über einen Zeitraum von jeweils 48 Stunden ergab, dass in diesem Zeitraum jeweils bis zu 2500 eBay-Mitglieder ihre echten Mitgliedskonto-Daten dort eintrugen. Ungefähr 20 - 30% dieser eBay-Mitglieder trugen auch ihre echten Kreditkarten-Daten ein, etwa 5% dieser eBay-Mitglieder gaben zusätzlich zu ihren echten Kreditkarten-Daten auch ihre Kreditkarten-PIN an.
Merksätze zu Spoof-Mails
- Klicken Sie niemals Verweise oder Schaltflächen in E-Mails an.
- Empfangen Sie Ihre E-Mails im Text-Format, statt im HTML-Format.
- Öffnen Sie immer Ihren Internet-Browser und geben die Adresse der Auktionsplattform manuell in die Adresszeile ein, wenn Sie sich bei einer Auktionsplattform einloggen möchten.
- Geben Sie niemals persönliche Daten in Formularfelder (Eingabefelder) von E-Mails ein.
- eBay fragt in E-Mails niemals nach persönlichen Zugangsdaten und/oder Kreditkartendaten.
Querverweise:
Thema: Phishing
Thema: Schutz vor Kaperung
Das Thema „Kontosicherheit“ im Sicherheitsportal bei eBay
Begriffserläuterungen bei Wikipedia:
E-Mail
, E-Mail-Programm, Link, Mail-Spoofing, Phishing
