Flüchtige eBay-Auktionen
Betrug bei eBay möglich

CloudServerSicherheitSicherheitsmanagement

In seinem Sicherheitskonzept setzt eBay vor allem auf die Eigenverantwortung der Nutzer. Manipulationen bleiben auf dem Online-Marktplatz indes immer noch unbemerkt.

Tore für den Missbrauch

Flüchtige eBay-Auktionen

Durch den Einsatz von HTML-Tags und Javascript erhalten Artikelbeschreibungen eine individuelle Note. Einige dieser Befehle öffnen aber auch dem Missbrauch Tür und Tor. So bindet das IFRAME-Tag Inhalte anderer Webseiten ein die befinden sich meist außerhalb der eBay-Domain und können von ihren Besitzern jederzeit geändert werden. Aus dem angebotenen Scheckheft-gepflegten Jahreswagen wird so nach Auktionsende schnell eine Rostschüssel zum Ausschlachten. Dabei hat der Verkäufer meist nichts zu befürchten: Da an der eigentlichen Artikelbeschreibung in der eBay-Datenbank keine Änderungen nötig sind, erscheint auf der Angebotsseite auch nicht der sonst übliche Hinweis auf eine überarbeitete Textfassung.


Unwirksame Filter

Flüchtige eBay-Auktionen

eBay verbietet seit einiger Zeit Links auf externe Seiten und blockt beim Einstellen neuer Artikel auch unerwünschte Tags wie das erwähnte IFRAME und einige Javascript-Funktionen. Wer den Marktplatz mit betrügerischen Absichten besucht, umgeht diese Überprüfung jedoch mit einem kleinen Trick: Anstatt ein IFRAME-Tag direkt in die Artikelbeschreibung zu integrieren, fügen es halbwegs gewandte Programmierer über ein dreizeiliges Javascript ein.

Noch einfacher und zudem nicht explizit durch die eBay-AGBs ausgeschlossen ist das Einbinden einer externen Grafik, die einen Beschreibungstext enthält. Diese Bilddatei mit einem Text wie »Einwandfreie Funktion« kann der Verkäufer nach Ablauf der Auktion gegen eine Grafik austauschen, auf der »Defektes Gerät« zu lesen ist. Bei späteren Unstimmigkeiten ist so die Beweisführung erschwert, wie die originale Artikelbeschreibung einmal ausgesehen hat. Gut, wenn man in diesem Fall vor dem Bieten einen Snapshot der Auktionsbeschreibung angefertigt hat (siehe Kapitel “So erkennen Sie manipulierte Auktionen”).


Javascript-Attacken

Flüchtige eBay-Auktionen

Ein noch mächtigeres Werkzeug für Gaunereien ist Javascript. In der Vergangenheit konnten schwarze Schafe auf diese Weise ein perfektes Bewertungsprofil vorgaukeln oder gar den Link der Bieten-Schaltfläche auf eine eigene Seite umleiten. Wer in dem dort hinterlegten Passwort-Dialog sein Kennwort eingab, lieferte seine Nutzerdaten direkt an die Betrüger (siehe PC Professionell 7/2004, ab Seite 22).
eBay filtert deshalb beim Einstellen der Auktionsbeschreibung inzwischen Zugriffe auf Cookies und andere sicherheitskritische Javascript-Funktionen aus. Doch auch hier lassen sich über Umwege externe Javascripts einbinden. Außerhalb der Kontrolle von eBay, können dort wieder sämtliche Javascript-Befehle zum Einsatz kommen. Dubiose Machenschaften lassen sich im Nachhinein auch leicht verschleiern, da verdächtiger Code jederzeit wieder entfernt werden kann.


Attraktivität contra Sicherheit

Flüchtige eBay-Auktionen

Maike Fuest, PR-Managerin von eBay Deutschland, nahm zu der Problematik gegenüber PC Professionell wie folgt Stellung: »Grundsätzlich lassen wir externe Inhalte wie Bilder in Artikelbeschreibungen zu, um den Marktplatz für unsere Mitglieder so attraktiv wie möglich zu gestalten. Um die Funktionalität von eBay nicht zu beeinträchtigen, verbieten unsere Grundsätze allerdings die Verwendung bestimmter Javascript-Funktionen und des IFRAME-Tags. Außerdem bauen wir kontinuierlich Sicherheitsmechanismen ein, um eine missbräuchliche Einbindung externer Inhalte zu verhindern«. Laut eBay kommen derartige Mißbrauchsversuche in der Praxis jedoch nur äußerst selten vor.
Wie den eBay-Grundsätzen hinsichtlich Javascript zu entnehmen ist, versucht eBay, die Verwendung unerwünschter Script-Befehle sowie des IFRAME-Tags zu unterbinden (siehe
pages.ebay.de/help/policies/listing-javascript.html
). Besser als das lückenhafte Blocken einiger verdächtiger Kommandos wäre jedoch ein konsequentes Verbot eigener Scripts in Auktionen. Die dadurch verloren gegangene Funktionalität könnte eBay durch die Bereitstellung fertiger, geprüfter Script-Bausteine ausgleichen.


So erkennen Sie manipulierte Auktionen

Flüchtige eBay-Auktionen

In Bildern versteckten Text sowie I-Frames spüren Sie mit den gängigen Browsern über den Befehl Bearbeiten/Alles markieren (Strg-A) auf: Im Gegensatz zu normalen Textpassagen markiert der Internet Explorer diese rechteckigen Bereiche komplett, inklusive dem freien Raum nach dem Zeilenende (siehe leicht eingerückten Absatz im Bild). Auch ist die verwendete Hintergrundfarbe heller als sonst, wodurch selbst kleine einzeilige Passagen gut zu erkennen sind (siehe letzte Zeile im Bild). Browser mit der Mozilla-Engine markieren nur Bilder heller und lassen I-Frames gänzlich unmarkiert. Opera markiert weder I-Frames noch Bilder, was ebenfalls leicht auffällt.

Um vor bösartigem Code geschützt zu sein, schalten Sie Javascript wenigstens vor dem Bieten auf eBay-Angebote aus. Beim Internet Explorer deaktivieren Sie dazu in der Sicherheitsstufe Internet das Active Scripting. Im Firefox-Browser entfernen Sie analog dazu das Häkchen vor Javascript aktivieren bei den Web-Features des Einstellungen-Menüs. Mehr Informationen zum sicherheitsbewussten Umgang mit Javascript bei eBay erhalten Sie in PC Professionell 7/2004 auf Seite 23 im Kasten Maßnahmen gegen Skript-Betrüger.

Bei späteren Streitigkeiten ist ein Nachweis über die ursprüngliche Artikelbeschreibung nützlich. Dazu speichern Sie vor dem Bieten die komplette Webseite. Hierfür eignet sich der Lauge-Browser (siehe Einzeltest, Heft-CD-Code LAUGE in Ausgabe 11), der komplette Artikelbeschreibungen nicht nur im HTML-Format sichert, sondern auf Wunsch auch als Screenshot in BMP- beziehungsweise JPG-Dateien schreibt.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen