Betrüger überwinden Sicherheitsmaßnahmen
bei eBay: „Sieben auf einen Streich“
Geändert am 08.02.2009
In den letzten zwei Wochen recherchierte »falle-internet.de« zu einer Gruppe von Kriminellen, die für ihre Betrugsversuche in dieser kurzen Zeitspanne ca. 1.000 übernommene eBay-Mitgliedskonten nutzte. Daraus wurden zu teuren Artikeln je 3 bis 7 betrügerische Angebote an unterlegene Bieter unterbreitet, über »Fragen an den Verkäufer« jeweils bis zu 25 Phishing-Mails verschickt. Innerhalb kurzer Zeit potenziert sich so die Zahl der möglichen Opfer.
Die Betrüger überwinden mit einer simplen Methode gleich fünf der in den letzten zwei Jahren eingeführten Sicherheitsmaßnahmen bei eBay vollständig: die anonymisierte Bieterliste, die Flash-Cookies zur Erkennung von gekaperten Mitgliedskonten, die Einschränkungen des eBay-Mailsystems, die Anonymisierung der Nutzer-Mailadressen und das „Sicherheitssiegel“ für E-Mails. Zwei weitere „Sicherheitsfeatures“ spielen ihnen sogar direkt in die Hände: das Verstecken der Mailadresse des Verkäufers und Anonymisierung der Höchstbieter.
Der konkrete Ablauf, Ursachen und Folgen
Anbieter von teuren Artikeln wie Digitalkameras oder Uhren erhalten eine »Frage an den Verkäufer«, in der behauptet wird, in einem Forum würde das Angebot als Betrug bezeichnet. Will der Verkäufer über den eingefügten Link nachlesen, was über ihn geschrieben wurde, wird er zunächst auf eine gefälschte Einlogg-Seite geführt. Viele vergessen in der Empörung über die Unterstellung alle Vorsicht und geben dort ihr Passwort preis.
Damit kann ein Betrüger bald danach für die hochwertigen Waren betrügerische Angebote an unterlegene Bieter direkt aus dem übernommenen Mitgliedskonto des Verkäufers verschicken.
Sie enthalten den Hinweis: »Wenn ein Angebot an unterlegene Bieter unter Meine Nachrichten mit der Betreffzeile „Angebot an unterlegene Bieter“ angezeigt wird, können Sie sicher sein, dass es echt ist.«
Der Bieter hat den Eindruck, das Angebot käme vom ursprünglichen Verkäufer; es erscheint im Posteingang in »Mein eBay« und hat damit die Echtheitsmerkmale, die auf den eBay-Hilfeseiten erklärt werden. Wer seine Mails über »web.de« oder »gmx« abruft, sieht neben dem betrügerischen Angebot das Sicherheitssiegel von eBay als Bestätigung der vermeintlichen Echtheit.
„Damit WEB.DE und GMX Kunden echte von gefälschten eBay-Mails ganz eindeutig unterscheiden können, werden die direkt von eBay oder von eBay-Nutzern über das eBay-System versandte E-Mails mit einem Siegel versehen.“
Wenn der Interessent auf das Angebot eingeht, erhält er eine Zahlungsaufforderung mit dem falschen Versprechen, eBay würde bei der Transaktion eine Treuhandfunktion übernehmen: »Findet nach erfolgter Bezahlung keine Warenauslieferung seitens des Verkäufers statt, garantiert die eBay Gesellschaft für eine entsprechende Rückvergütung des Kaufpreises«.
Die Ware soll mit MoneyGram bezahlt und danach die Einzahldaten per E-Mail mitgeteilt werden:
Mit der Kenntnis der Referenznummer kann das Geld überall auf der Welt innerhalb von Minuten abgeholt werden.
Nach der Bezahlung wird der Bieter keine Ware erhalten und der echte Verkäufer ahnt noch nichts davon, dass für seinen Artikel mehrfach kassiert wird.
Über gekaperte Mitgliedskonten werden viele weitere Phishingmails über die Funktion »Frage an den Verkäufer« verschickt, andere Verkäufer reagieren wieder auf die alarmierende Nachricht, im Kreislauf vervielfacht sich die Zahl der Opfer.
Maßnahmen
Die in diesen Fällen vollkommen wirkungslosen Sicherheitsmaßnahmen wurden größtenteils im Jahr 2008 eingeführt, um zwei verbreitete Betrugsformen auf dem Online-Marktplatz zu bekämpfen: den Verkauf aus übernommenen Mitgliedskonten und das Verschicken von gefälschten »Angeboten an unterlegene Bieter«.
Um das Verschicken von betrügerischen Angeboten zu unterbinden, wurde zunächst die Zahl der über das eBay-Mailsystem versendbaren Nachrichten drastisch beschränkt; später wurden die Mitgliedsnamen der Bieter unkenntlich gemacht. Das früher zum automatisierten Versenden gefälschter Angebote benutzte Programm »eBay eMail Extractor« (»falle-internet.de« berichtete) wurde damit unbrauchbar.
Betrügerische Angebote über gekaperte Mitgliedskonten sollten durch die Vergabe von »Flash-Cookies« erschwert werden. Diese »Neue Maßnahme zur Erhöhung der Sicherheit auf dem eBay-Marktplatz« wird im April 2008 von eBay erklärt: »Welche Technologie wird angewendet?
Zur Identitätsbestätigung verwenden wir sogenannte „Flash-Cookies“. Cookies sind kleine Informationseinheiten, die lokal auf Ihrem Computer gespeichert werden. Die Flash-Cookies, die wir für die Identitätsbestätigung verwenden, verbleiben auf Ihrem Computer, sodass unser System Sie bei Ihrem nächsten Besuch wiedererkennt«.
Zur Identitätsbestätigung verwenden wir sogenannte „Flash-Cookies“. Cookies sind kleine Informationseinheiten, die lokal auf Ihrem Computer gespeichert werden. Die Flash-Cookies, die wir für die Identitätsbestätigung verwenden, verbleiben auf Ihrem Computer, sodass unser System Sie bei Ihrem nächsten Besuch wiedererkennt«.
Wird das eBay-Verkaufsformular von einem unbekannten Computer aus benutzt, erfolgt ein automatisierter Anruf beim Mitglied zur zusätzlichen Absicherung, dadurch sollen neue Angebote nicht unbemerkt eingestellt werden können. Die Ganoven haben allerdings schnell einen Dreh gefunden, wie durch eine Kombination von Methoden quasi eBay selbst die Wirkung der Maßnahmen aushebelt und kennen verschiedene Wege, die »Flash-Cookies« zu umgehen. Eine Möglichkeit ist das Bearbeiten bereits vorhandener Angebote:
Statt ein neues Angebot im gekaperten Mitgliedskonto zu erstellen, wurde in attraktive laufende Angebote ein zusätzliches Bild eingefügt, auf dem ein Betrüger den Interessenten versprach, bei Kontaktaufnahme das Angebot zu beenden und den Artikel sofort zu einem günstigen Preis zu liefern.
Auch wenn der Verkäufer die Einfügung eines fremden Bildes bemerkte, konnte er dieses nicht selbst löschen. Ihm blieb dann nur die Möglichkeit, seinerseits eine Erklärung einzufügen. Z.B. mit der Bitte: »Ignorieren Sie diese Passage [...], kontaktieren Sie nicht diesen Betrüger«.
Wenn noch keine Gebote abgegeben waren, konnte sogar die ganze Beschreibung des Artikels geändert werden.
Harmlose Handtaschen-Angebote wurden zu einem Betrugsversuch umgewandelt: Traktoren für je ca. 10.000 €.
Hier erkennt man die Änderungen, die der Betrüger vorgenommen hat, um statt einer echten Handtasche einen fiktiven Traktor anzubieten.
Wenn bereits bis zu einem attraktiven Preis Gebote abgegeben waren, wurden durch den Eindringling unter einem Vorwand die entsprechenden Angebote »vorzeitig beendet, um zum aktuellen Gebot an den bzw. die Höchstbietenden zu verkaufen«.
Für dieses Gerät würde der Verkäufer einen Preis von ca. 1000 £ erzielen. Um vom derzeitigen Höchstbieter 310 £ für ein vermeintliches Schnäppchen zu kassieren, beendet der Betrüger das Angebot vorzeitig, bevor er entdeckt wird.
Bei all diesen Verfahren muss nicht das Verkaufsformular verwendet werden, denn es werden bereits erstellte Angebote benutzt. Dazu kommt, dass ein Verkäufer auch die Liste mit allen Bieternamen ohne Anonymisierung sehen und allen unterlegenen Bietern ein Angebot unterbreiten kann. Für ein »Angebot an einen unterlegenen Bieter« (englisch: »Second Chance Offer«) wird von eBay automatisch ein Sofortkauf-Angebot zum jeweiligen Gebotspreis erstellt. Ein Betrüger, der sowieso nicht die Absicht hat, die Ware zu liefern, kann diese also mit wenigen Klicks sogar mehrfach anbieten – und das tut er auch:
Im Sekundentakt hat ein Betrüger das Angebot eines gekaperten Mitgliedskontos einfach mehrmals wieder eingestellt. Es ist immer derselbe Artikel, nur der Sofortkauf-Preis ist unterschiedlich.
Jedem unterlegenen Bieter wird die Ware zu „seinem“ Preis angeboten. Er kann nicht erkennen, wie viele andere Bieter noch diese betrügerischen Angebote erhalten haben, denn sie sind nur mit der von eBay übermittelten Artikelnummer aufrufbar. Die Kriminellen können also noch Angebote ausschlachten, die bereits Wochen zurückliegen und somit noch vielfach einen teuren Artikel anbieten, den der Verkäufer bereits korrekt ausgeliefert hatte.
Hierbei spielen zwei weitere Sicherheitsmaßnahmen von eBay den Betrügern direkt in die Hände: Zum Schutz vor unerwünschten »Spam-E-Mails« werden die Mailadressen von Verkäufern ihren Kunden seit Ende 2007 nicht mehr mitgeteilt. Potentielle Betrugsopfer haben also keine Möglichkeit zu erkennen, dass sie nicht mit dem Verkäufer mailen, sondern mit einem Betrüger. So werden noch Käufer per Mail zur Bezahlung betrügerischer Angebote überredet, wenn das gekaperte eBay-Mitgliedskonto längst wieder im Besitz des rechtmäßigen Inhabers ist.
Außerdem werden auch die Höchstbieter seit November 2008 nicht mehr angezeigt. Ein Empfänger eines »Angebotes an unterlegene Bieter« kann somit nicht den eigentlichen Käufer kontaktieren um nachzufragen, ob dieser auch wirklich vom Kauf des Artikels zurückgetreten ist.
Bei Betrugsserien wird die eBay-Funktion »Angebot an unterlegene Bieter« regelmäßig eingesetzt, weil sich die Einnahmen dadurch leicht und relativ unauffällig vervielfältigen lassen.
Kritik eines eBay-Mitglieds an der Funktion „Angebot an unterlegene Bieter“
Die Funktion wird so häufig von Betrügern ausgenutzt, dass große Verkäufer von hochwertigen Waren schon in ihre Angebote Warnungen an die Bieter schreiben.
Ein Juwelenhändler schreibt sinngemäß: „Bei uns gibt es keine Angebote an unterlegene Bieter. [...] Fallen Sie nicht auf diese Schwindler rein. [...] Diese Betrüger haben zur Zeit viele der Top-Verkäufer bei eBay im Visier.“
Im Angebot für eine teure Uhr: „Wir unterbereiten eBay-Mitgliedern keine Zweite-Chance-Angebote. Wenn sie mit einem „Angebot an unterlegene Bieter“ kontaktiert werden, seien Sie bitte auf der Hut!“
Viele seriöse Verkäufer erstellen auch keine Zweitbieter-Angebote, weil sie aus einem anderen Grund um ihren guten Ruf fürchten: »Das sieht immer nach Pushen aus«, erklärte ein eBay-Mitglied in einer kürzlichen Forendiskussion.
So genannte „Pusher“, die mit Eigengeboten den Preis hochtreiben, loten das Gebot eines Bieters aus. Viele Käufer haben schon erlebt, dass sie knapp überboten wurden und ihnen kurz nach dem Ende des Angebots mitgeteilt wird, der Höchstbieter wolle die Transaktion nicht abschließen, deshalb sei der Artikel nun zu ihrem persönlichen Höchstpreis zu verkaufen.
So genannte „Pusher“, die mit Eigengeboten den Preis hochtreiben, loten das Gebot eines Bieters aus. Viele Käufer haben schon erlebt, dass sie knapp überboten wurden und ihnen kurz nach dem Ende des Angebots mitgeteilt wird, der Höchstbieter wolle die Transaktion nicht abschließen, deshalb sei der Artikel nun zu ihrem persönlichen Höchstpreis zu verkaufen.
Alltag bei eBay: Weniger als 2 Minuten nach Ende des Angebots soll der Höchstbieter bereits den Rücktritt erklärt haben und der Artikel wird zum Sofortkauf angeboten. Alle Bewertungen des „abgesprungenen Käufers“ stammen von dem selben Verkäufer.
Während man früher leicht erkennen konnte, ob ein Mitglied auf Artikel eines Verkäufers auffällige Gebote abgibt, ist das seit April 2008 nicht mehr möglich. Alle Benutzernamen bei eBay-Angeboten werden anonymisiert und bis auf zwei werden alle Buchstaben als Sternchen dargestellt, zum Beispiel a***y und r***4.
Durch diese Maßnahme hat eBay bei den normalen Nutzern viel an Transparenz und Vertrauen eingebüßt.
Durch diese Maßnahme hat eBay bei den normalen Nutzern viel an Transparenz und Vertrauen eingebüßt.
In den USA läuft die Anonymisierung unter der Abkürzung »SMI – „Safeguarding Member IDs« – zu Deutsch etwa: »Beschützen der Mitgliederidentitäten«. Findige eBay-User im amerikanischen Forum haben für SMI eine etwas andere Deutung: »Shilling made invisible« – »Hochbieten unsichtbar gemacht«.
Kritik eines eBay-Nutzers an den anonymisierten Bieternamen
Für Unmut sorgte auch die rigorose Einschränkung der Funktion »Mit eBay-Mitglied Kontakt aufnehmen«. Viele Mitglieder reagierten mit Empörung darauf, dass - wenn überhaupt - nur noch eingeschränkter Kontakt zu anderen eBay-Nutzern möglich ist. Für die Phishing-Spammer ist diese Beschränkung indes keine Hürde: die von ihnen benutzte »Frage an den Verkäufer« ist davon ausgenommen.
Auch eine weitere neue Sicherheitsmaßnahme wird von den Betrügern umgangen: die anonymisierte E-Mail-Weiterleitung. »Seit Anfang Oktober 2008 anonymisieren wir zum Schutz unserer Mitglieder vor unerwünschten (Spam) oder betrügerischen E-Mails standardmäßig die E-Mail-Adressen von Mitgliedern [...]. Sobald ein Artikel verkauft wurde, zeigen wir Verkäufern auch weiterhin alle Kontaktdaten des Käufers an, inklusive der „richtigen“ E-Mail-Adresse«.
Aus einem übernommenen Verkäuferkonto können die Daten der letzten Käufer abgerufen werden.
Aus einem übernommenen Verkäuferkonto können die Daten der letzten Käufer abgerufen werden.
Schon beim Phishing werden lukrative Ziele ausgewählt; statt breitgestreutem E-Mail-Versand werden systematisch eBay-Mitglieder ausgewählt, die bereits hochwertige Ware im Angebot haben. Die interessierten Bieter sind als perfekt ausgewählte Zielgruppe ersichtlich und die verlockend günstigen Festpreisangebote werden ohne Abgleich der Flash-Cookies direkt von der eBay-Software erstellt.
Angebot an unterlegene Bieter: Schaden und Nutzen
Nicht nur wegen der Betrugsgefahr steht die Funktion »Angebot an unterlegene Bieter« in der Kritik.
»Hilfe, mein Käufer hat nach drei Wochen doch noch bezahlt. Ich habe die Ware aber mittlerweile an den Zweitbieter verkauft. Was soll ich tun?« Eine solche Frage wird im Schnitt zwei Mal pro Woche von einem ratsuchenden Verkäufer im eBay-Forum »Bezahlung« gestellt.
Die Antwort erfahrener Forenteilnehmer fällt ernüchternd aus: »Hast du den Höchstbieter schriftlich mit einer angemessen datierten Frist zur Zahlung aufgefordert und nach deren Verstreichen den Kaufvertrag ordnungsgemäß aufgekündigt? Sonst hast du jetzt zwei Verträge zu erfüllen, denn „von allein“ verjährt ein Kaufvertrag erst nach drei Jahren«.
Das Ergebnis: Wenn die Funktion »Angebot an unterlegene Bieter« ohne Kenntnis der rechtlichen Auswirkungen benutzt wird, muss ein Verkäufer den von ihm verkauften Artikel ein zweites Mal beschaffen oder Schadensersatz leisten. Um so verwunderlicher ist es, dass das »Angebot an unterlegene Bieter« sofort nach Angebotsende ausgelöst werden kann und das gleich an sämtliche unterlegene Bieter.
Hält sich ein Verkäufer nach einem Verkauf an einen „Nichtzahler“ an die vorgeschriebene Prozedur der Fristsetzung und Kündigung des Kaufvertrages, so vergehen rund drei Wochen, bis er dem unterlegenen Bieter ein entsprechendes Kaufangebot unterbreiten kann. In der Regel haben sich die unterlegenen Bieter den gewünschten Artikel dann schon anderweitig besorgt.
Seit Jahren versucht eBay erfolglos, den Betrug mit den »Angeboten an unterlegene Bieter« zu unterbinden. Dabei steht der Betrugsgefahr offenbar nur ein äußerst fraglicher praktischer Nutzen entgegen. Die umfassenden Einschränkungen, die alle eBay-Mitglieder hinnehmen mussten, um den Missbrauch einzudämmen, sorgten für viel Protest. Die überwiegenden Nutzerinteressen sprechen für eine Wiederherstellung der offenen Gebotslisten und der Funktion des eBay-Nachrichtensystems.
Würde einer der verantwortlichen Entscheidungsträger bei eBay den Mut aufbringen, die Funktion ersatzlos zu streichen und allen eBay-Nutzern mitteilen, dass es keine erlaubten »Angebote an unterlegene Bieter« mehr gibt, könnte gleichzeitig ein großer Teil des täglichen eBay-Betrugs eingedämmt und verlorenes Nutzervertrauen wiedergewonnen werden. Die dadurch zu erwartende Zunahme der Verkäufe auf der eBay-Plattform dürfte die durch den Wegfall der »Angebote an unterlegene Bieter« offenbar befürchteten Verkäufe „an eBay vorbei“ bei weitem übersteigen.
Einige einfache, aber wirksame Vorkehrungen würden den Betrügern zusätzlich ihr Vorgehen erheblich erschweren - so werden z.B. Mails mit Phishing-Links bei den großen Mailprovidern gar nicht erst zugestellt. Warum ein Link zu einer betrügerischen Website ausgerechnet über die eBay-Funktion „Frage an Verkäufer“ verschickt werden darf damit auch noch das „E-Mail-Siegel“ verliehen bekommt, ist unverständlich.
Ausmaß des Problems
Die zur Kaperung von eBay-Mitgliedskonten eingesetzten „Phishing-Kits“ enthalten Bausteine in verschiedenen Sprachen. In Frankreich, Spanien und anderen Ländern können ähnliche Beobachtungen gemacht werden, besonders stark betroffen sind die englischsprachigen Länder USA und Großbritannien.
Bei der von »falle-internet.de« untersuchten Gruppe handelte es sich um eine einzige von vielen, sie agiert vorwiegend in Deutschland. Die über 1.000 Opfer innerhalb von zwei Wochen wurden auf nur 18 bekannten Phishing-Seiten um ihren eBay-Account gebracht. Gleichzeitig geht eine unbekannte Zahl Krimineller nach dem selben Muster vor. Obwohl die Zahl der eBay-Phishing-Seiten nach der Einführung der »Flash-Cookies« zunächst merklich zurückgegangen war, ist in jüngster Zeit ein sprunghafter Anstieg zu verzeichnen. Allein von Anti-Phishing-Aktivisten der Seite »PhishTank« wurden im entsprechenden Zeitraum über 500 eBay-Phishing-Seiten entdeckt und gemeldet. Zuzüglich Dunkelziffer ist also zur Zeit von hunderttausenden Betrugsversuchen bei eBay im Gesamtwert von mehreren Millionen Euro alle zwei Wochen auszugehen.
falle-internet.de meint:
Alle neuen Sicherheitsmaßnahmen von eBay zur Bekämpfung gekaperter Mitgliedskonten versagen, wenn Betrüger nur einige wenige übernommene Mitgliedskonten zur Verfügung haben. Die Sicherheitsvorkehrungen können dann mit einfachsten und von eBay selbst zur Verfügung gestellten Mitteln umgangen werden, die vorhandenen Mitgliedskonten dienen dabei als Multiplikatoren.
Die neuen Sicherheitsmaßnahmen von eBay bringen wenig mehr an Sicherheit, jedoch viel mehr eingeschränkte Transparenz für die ehrlichen Nutzer.
Offensichtlich untaugliche Maßnahmen sollten rückgängig gemacht werden. Stattdessen gehören die besonders betrugsanfälligen eBay-Funktionen im Ganzen auf den Prüfstand.
Die neuen Sicherheitsmaßnahmen von eBay bringen wenig mehr an Sicherheit, jedoch viel mehr eingeschränkte Transparenz für die ehrlichen Nutzer.
Offensichtlich untaugliche Maßnahmen sollten rückgängig gemacht werden. Stattdessen gehören die besonders betrugsanfälligen eBay-Funktionen im Ganzen auf den Prüfstand.
Weiterführende Infos und Hintergrund-Informationen:
Flash-Cookies: Neue Maßnahme zur Erhöhung der Sicherheit auf dem eBay-Marktplatz
Anonymisierung der Bieter: Neue Sicherheitsmaßname für eBay-Käufer
Die Erläuterung der Anonymisierten E-Mail-Weiterleitung bei eBay
Informationen zu: „Angebote an unterlegene Bieter“ bei eBay
Die Allgemeinen Geschäftsbedingungen von eBay
Veröffentlichung von »falle-internet.de«: Ein Hacker will es wissen: Der eBay-Test
Veröffentlichung von »falle-internet.de«: eBay setzt neue Sicherheitsmaßnahme
mangelhaft um
Siehe auch:
Welche Betrugsmethoden sind mit gekaperten Mitgliedskonten üblich?
Was sind gekaperte Mitgliedskonten?
Was ist Phishing?
Was ist Phishing über Frage an den Verkäufer?
