Ein Hacker will es wissen: Der eBay-Test

Test-Angebote werden ständig von eBay-Mitarbeitern erstellt; damit werden neue Funktionen ausprobiert oder Schulungen durchgeführt. Auch Programmierer können mit solchen Testangeboten zum Beispiel ihre Kaufabwicklungs-Software überprüfen.
Bei genauem Hinsehen erkennt man aber, dass nicht nur eBay-Mitarbeiter testen, sondern zwielichtige Gestalten hier ihren ganz speziellen eBay-Test durchführen:

Beim Fahrzeugverkauf geht es oft um große Beträge, daher ist eBay-Motors ein beliebtes Feld für Betrugsversuche durch „gehackte“ Mitgliedskonten (Account-Takeover).

Diese Form des eBay-Betrugs ist ein Wirtschaftszweig mit weit verzweigten Geschäftsbeziehungen, die Aufgaben werden je nach Spezialisierung verteilt und entsprechende Dienstleistungen angeboten.

So gibt es kriminelle Hacker, die Schwachstellen und Sicherheitslücken in Servern, Webanwendungen und PCs finden und dieses Wissen oder die so gewonnenen Daten an andere weiterverkaufen. Ein mögliches Szenario dabei ist bspw. das Auslesen von E-Mail-Adressen aus einer Webanwendung.

Diese E-Mail-Adressen können dann an einen Phisher veräußert werden, dessen Spezialisierung es ist, massenhaft Phishing-Mails mit meist alarmierendem Inhalt an die betroffenen Adressen zu schicken und die Opfer zur Eingabe sensibler Daten auf falschen Login-Seiten zu bewegen.

Die so gesammelten Passwörter können an den sogenannten Scammer (engl. für Betrüger) weitergegeben werden, der dann mit den Accounts ehrlicher eBay-Mitglieder seine betrügerischen Angebote erstellt.

Wie überall im Wirtschaftsleben hängt der Erfolg dieses Systems von ständiger Forschung und Anpassung ab, von Rationalisierung und sogar von Werbung.

Die spektakulären Auftritte des Hackers „Vladuz“ werden inzwischen von Beobachtern als PR-Aktion eingeordnet. Er führt recht offen vor, wie wirkungsvoll die Tools sind, die er den Betrügern zur Erleichterung ihrer „Arbeit“ anbietet, zum Beispiel das berüchtigte Programm „eBay-E-Mail-Extractor“. Es bewältigt Aufgaben, die jeder Nutzer auch selbst durchführen könnte, allerdings nicht mit der Geschwindigkeit einer Software:

Die Mitglieds-Namen der unterlegenen Bieter eines Angebots werden zu E-Mail-Adressen bei gebräuchlichen Anbietern wie @yahoo.com, @t-online.de, @aol.com usw. zusammengefügt und über die Mitglieder-Suche getestet, ob sie bei einem Mitgliedskonto bei eBay hinterlegt sind. Bei Übereinstimmung kann eine Mail aus dem Programm heraus direkt in die Mail-Box des Mitglieds geschickt werden. Dies führt zu Aufregung bei den eBay-Mitgliedern, die glauben, ein Hacker könne direkt aus der Bieterliste ihre E-Mail-Adresse auslesen.

Die reihenweise Abfrage von Mitgliedsdaten wird durch die Anforderung eines Verifizierungscodes behindert, aber scheinbar gibt es eine Möglichkeit, diese Hürde zu überwinden, wie der „eBayCaptcha Populator by vladuz“ zeigen sollte.

Trotzdem dürfte es sich um ein Auslaufmodell handeln, denn nach einer Änderung auf den englischsprachigen eBay-Seiten bleiben die Bieternamen ab einer Gebotshöhe von 200,00 €/$ verdeckt. Betrügerische Zweitbieter-Angebote sind so weitgehend unterbunden, nur für gezielte Phishingmails ist das Programm noch brauchbar.

Um im Geschäft zu bleiben, müssen neue Methoden zur Überwindung der eBay-Sicherheitsmaßnahmen ausprobiert werden.

Die Entdeckung einer Account-Übernahme wird in einer neueren Variante verzögert, bei der das Passwort des ursprünglichen Besitzers nicht geändert wird, so dass er gar nicht bemerkt, dass sich ein Dritter Zugriff verschafft hat. So können betrügerische Angebote in seinem Namen verschickt werden, die beim Empfänger korrekt aussehend als »Mitteilung eines eBay-Mitglieds« erscheinen.

Auch bleiben die Original-Angebote bestehen, es wird lediglich ganz unten ein Bild mit einem Sofortkauf-Angebot in die Beschreibung eingefügt:

Die Mengen erinnern an den „Großangriff auf eBay-UK“. Es wurden wieder viele Takeover verbraucht. Scheinbar ist noch eine ausreichende Anzahl von übernommenen Accounts vorhanden, die zu Demonstrations- oder Versuchzwecken verschlissen werden können. Als möglichst unauffällige Betrugsversuche waren die Test-Angebote sicher nicht gedacht; viele waren wieder mit einem rumänischen Satz signiert, der sie besonders leicht auffindbar macht.

Deswegen werden die Aktionen dem „Hacker Vladuz“ zugeschrieben, der gern seine Fähigkeiten präsentiert, zum Beispiel indem er mit Mitarbeiter-Accounts (Pinkliner) in eBay-Foren schreibt, auch über die von ihm hinterlassenen Signaturen:
»If you watched the progress of the modified auctions, you would know I left my signature on all of them (hidden or more or less visible)«.

Nachdem eBay-Sprecher Hani Durzy bekanntgegeben hatte, dass Vladuz sich lediglich Zugang zu einigen Mailboxen von Kundendienst-Mitarbeitern verschafft habe, brachte ihn der Auftritt im deutschen eBay-Forum Sicherheit in Erklärungsnot, denn „vladuzsgi“ war ein frisch angemeldeter rumänischer eBay-Mitarbeiter:

Diese Vorgänge beunruhigen die eBay-Nutzer, immer wieder entstehen Diskussionen zu dem Thema in den eBay-Foren, aber viele informative Beiträge werden durch den Betreiber bald wieder gelöscht, die Schreiber verwarnt oder suspendiert: »Excellent. We just get a slap on the uk boards for helping ebay«. - Zitat aus der Diskussion »:-( Massive, worldwide, multiple user hijacks :-(«.

Nicht zuletzt deshalb fragen sich die Mitglieder, ob sie den Versicherungen des eBay-Sprechers Hani Durzy glauben können, es gäbe keine Hinweise darauf, dass Vladuz Zugang zu Nutzerdaten habe.

Die Unterdrückung offener Diskussion und freier Meinungsäußerung lässt umso mehr Raum für Spekulationen und verbittert gerade die engagierten Mitglieder der eBay-Community, die sich um Aufklärung über Betrugsmethoden bemühen.
Sie werden an der Offenlegung von Sicherheitslücken gehindert, mit Textbausteinen abgespeist und für die Warnung potenzieller Opfer sogar mit Ausschluss vom eBay-Handel bestraft.
So entsteht das paradoxe Phänomen, dass die Auftritte von Vladuz geradezu freudig begrüßt werden, denn die Dreistigkeit dieses schillernden Phantoms unterstützt sie bei ihrer Öffentlichkeitsarbeit.