Fälscher bei Ebay
Sicherheitslücken

E-CommerceKomponentenMarketingNetzwerkeWorkspace

Der Marktführer entfernt fiese Skripte nicht zuverlässig aus Angebotsseiten. Immer wieder gelingt es Betrüger Ebay zu überlisten.

Nachbau von Ebay

Fälscher bei Ebay

Stern TV, knapp zwei Wochen vor Weihnachten: Die Reporter zogen durch eine Fußgängerzone und fragten Passanten, ob diese über einen Ebay-Account verfügen. Wer die Frage bejahte, wurde zum Versuchskaninchen. Ein Gebot auf eine bestimmte Auktion sollte es sein. Diese war präpariert: Ein Klick auf Bieten verließ das Ebay-Portal und präsentierte einen täuschenden Nachbau der Login-Seite. Die dort eingegebenen Nutzerdaten landeten nicht bei den Servern des Auktionshauses, sondern auf einem fremden PC-Bildschirm.

Javascript reicht

Um an das geheime Passwort anderer Bieter zu kommen, reicht ein Javascript. Es lässt sich einfach in die Artikelbeschreibung einer neuen Auktion einpflegen. Über derartige Skripts ist es beispielsweise auch möglich, anstelle des eigenen Bewertungsprofils das eines anderen Nutzers anzuzeigen. Gutartig eingesetzt erlaubt die Programmiersprache zum Beispiel automatisch wechselnde Fotos, Schneeflocken, die über den Bildschirm wandern, oder Figuren, die dem Mauszeiger folgen. Wegen dieser ebenso hübschen wie verkaufsfördernden Fähigkeiten möchte der Anbieter Javascript nicht grundsätzlich aus den Artikelbeschreibungen herausfiltern was die einzige Möglichkeit wäre, Passwortdiebstahl sicher zu verhindern. Die stattdessen eingesetzten Filter, die bösartigen Code blocken sollen, arbeiten aber nicht zuverlässig.

Vorsicht:
Der Verpackungstrick ist noch immer gefährlich. Erst bei abermaligem Durchlesen der Beschreibung wird klar, dass nur die Verpackung verkauft wird.

Vorsicht:
Ein absolutes K.o.-Kriterium: Auf E-Mails eines Geschäftspartners wird überhaupt nicht reagiert oder die Anworten sind ausweichend und unklar.


Passwort-Klau

Fälscher bei Ebay

Bei der Stern-TV-Sendung sollte der Versuch am 15.12.2004 live wiederholt werden und schlug fehl. Dass inzwischen ein funktionierender Schutz gegen die Manipulation eingeführt wurde, widerlegte die Sendung eine Woche später: Der Passwortdiebstahl klappte wieder. Das Auktionshaus verhinderte zwar per einstweiliger Verfügung den Besuch des Spezialisten der ersten Sendung, Alex Leporda, doch ein weiterer Profi war schnell gefunden.
In diesem zweiten Versuch erwies sich auch die als sicher angepriesene Ebay-Toolbar als fehlerhaft. Sie sollte den Passwortdiebstahl erkennen und den Nutzer vor der Eingabe seiner persönlichen Daten warnen. Allerdings klappt auch das nicht.
Durch die in Stern TV beschriebene Problematik ist nach Kenntnis von Ebay bisher keinem Mitglied ein materieller Schaden zugefügt worden. Außerdem war der Handel auf der Ebay-Plattform zu keiner Zeit gefährdet. Das Auktionshaus rät seinen Nutzern generell, regelmäßig ihr Konto zu überprüfen und auf Unregelmäßigkeiten zu achten. Im Zweifelsfall sollten Sie sofort mit dem Kundenservice Kontakt aufnehmen.
Andreas Müglich, Professor für Wirtschaftsrecht an der Fachhochschule Gelsenkirchen hatte schon 2002 in einem Interview mit dem Westdeutschen Rundfunk wenig Verständis für diese laxe Sicherheitsauffassung. Er kritisiert: ?Es wäre problemlos möglich, den Internet-Verkauf und die Internet-Versteigerungen mindestens so sicher zu machen wie Homebanking.? Der Aufwand, der dazu notwenig wäre, halte sich durchaus in Grenzen. Der streitbare Professor warf der Auktionsplattform damals sogar reines Eigennutz-Denken in Sicherheitsfragen vor: ?Es fehlt am Interesse, da in der Regel nicht das Auktionshaus selbst vom Schaden betroffen ist, sondern der Nutzer.?


Ebay-Toolbar

Fälscher bei Ebay

Das Versteigerungshaus selbst empfiehlt, die Ebay-Toolbar zu nutzen. Sie enthält nämtlich einen Sicherheits-Check, der Mitglieder aktiv vor betrügerischen Websites schützt. Hiermit können Nutzer anhand eines dreifarbigen Signalsystems erkennen, ob sie sich auf einer von Ebay oder dem zu Ebay gehörenden Online-Bezahlsystem Paypal verifizierten Website befinden nur diese werden mit grüner Farbe unterlegt. Befinden sich Nutzer hingegen auf rot markierten Seiten, wird strikt davon abgeraten, personenbezogene Daten wie Passwort oder Kreditkarteninformationen einzugeben. Denn hier handelt es sich um eindeutig identifizierte betrügerische Webseiten.
Werden Sie trotz aller Vorsicht Opfer eines Betrugs im Rahmen einer Auktion, so erstatten Sie am besten gleich Strafanzeige beim örtlichen Polizeirevier. Das bringt zwar nicht automatisch die Ware oder das Geld zurück, aber wenn der Täter vor Gericht verurteilt wird, steigen die Chancen, dass Sie an Ihr Eigentum kommen.


Schrott-Sportwagen

Fälscher bei Ebay

Durch den Einsatz von HTML-Tags und Javascript erhalten Artikelbeschreibungen eine individuelle Note. Einige dieser Befehle öffnen aber auch dem Missbrauch Tür und Tor.
So bindet das Iframe-Tag Inhalte anderer Webseiten ein. Die befinden sich meist außerhalb der Ebay-Domain und können von ihren Besitzern jederzeit geändert werden. Aus dem angebotenen scheckheftgepflegten BMW-Cabrio, das auf dem Angebotsbild praktisch neu aussieht, wird so nach Auktionsende schnell ein Totalschaden zum Ausschlachten.
Dabei hat der Verkäufer meist nichts zu befürchten: Weil an der eigentlichen Artikelbeschreibung in der Ebay-Datenbank keine Änderungen nötig sind, erscheint auf der Angebotsseite auch nicht der sonst übliche Hinweis auf eine überarbeitete Textfassung.


Portokosten sparen

Fälscher bei Ebay

Die Wahl eines geeigneten und günstigen Paketdienstes ist für Ebay-Käufer von elementarer Bedeutung. Wer hier nicht aufpasst, zahlt am Ende für den Transport mehr als für das eigentliche Versteigerungsobjekt. Da aufgrund der unterschiedlichen Preismodelle keine allgemeine Aussage über den günstigsten Service möglich ist, haben wir als Beispiel ein Standardpaket bis fünf Kilogramm ausgewählt, dass an eine Adresse in Deutschland verschickt werden soll, und die Preise der einzelnen Anbieter verglichen. Sehr empfehlenswert ist zudem ein Besuch bei der Tarifvergleichsseite Posttip, die Sie unter der Adresse www.posttip.de finden.


Sicher bieten

Fälscher bei Ebay

Das Deaktivieren von Active Scripting ist zwar ein zuverlässiger Schutz, aber auch keine Dauerlösung: Viele Webseiten benutzen Javascript zum Beispiel zur Navigation und funktionieren nicht, wenn die entsprechende Option im Browser deaktiviert ist. Da der Internet Explorer spezielle Sicherheitsoptionen nicht für einzelne Webseiten speichern kann, sondern alle Einstellungen global anwendet, ist das Wiedereinschalten nach dem Besuch von Ebay meist unumgänglich.

Zone anpassen
Die entsprechenden Optionen sind gut in den Internetoptionen versteckt, die sich unter Extras befinden. Der entsprechende Dialog befindet sich auf dem Reiter Sicherheit.

Scripting abschalten
Nachdem sicher gestellt ist, dass die Internet-Zone markiert bleibt, öffnet ein Klick auf Stufe anpassen ein weiteres Fenster. Etwa in der Mitte der Optionen befindet sich die Einstellung zu Active Scripting. Ist die Auswahl Deaktivieren getroffen, können dem Surfer böse Javascripts nichts mehr anhaben.