Sollten Sie kein Menü sehen klicken Sie bitte hier: www.geheimdokumente.de

Ebay - Sicherheitslücke

 

Gefunden auf Onlinekoten.de

Von Alex Leinhos

Betrugs-Account zum Selberbasteln – in nur 15 Minuten. Ein Software-Fehler? – Mitnichten! Onlinekosten.de zeigt, wie einfach potentielle Betrüger bei eBay gefälschte Accounts eröffnen können. Indem sie zwei Dinge frech ausnutzen: Die so hoch gelobte Schufa-Prüfung, die im Auktionshaus eigentlich für Sicherheit sorgen sollte. Und die bornierte Sorglosigkeit anderer im Umgang mit ihren eigenen Daten im Netz.

Ein Computer – irgendwo in Deutschland. Zwei Menschen davor, nicht sonderlich beleckt im Umgang mit dem Internet; keine Hacker, keine Cracker – zwei ganz normale Durchschnitts-User. Wir wollen rein ins System, rein bei eBay. Aber bitte incognito, mit falschen Daten.

Schlüssel zu eBay: Die Schufa-Abfrage Wir wissen: eBay nutzt seit längerem die Schufa-Abfrage. Die prüft bei Neu-Anmeldungen, ob Adressdaten mit Namen und Geburtsdaten übereinstimmen. Ist alles korrekt, gibt’s den Freischalt-Code per Mail und drin ist man. Per Post fragt eBay nur noch die User ab, die die Schufa-Prüfung nicht bestehen – der Vereinfachung eine Gasse. Hoch gelobt hat das Tool noch heute die eBay-Pressestelle. „Die einzigen“ seien sie, „die das in Deutschland nutzen“. Am Ende werden wir wissen, warum das wohl auch so bleibt…

Spielen wir also Hobby-Betrüger... Ganz klar: Der ein oder andere Fake-Account wäre da sicherlich arbeitserleichternd. Was wir brauchen? – Korrekte Schufa-Daten, was sonst! Aber ganz gewiss nicht unsere. Woher nehmen den Kram? – Natürlich: aus dem Netz. Wir googeln, geben “Geburtstag“ und „Adresse“ im Toolbar ein. Pling! – Gleich auf Platz drei der erste Treffer: Die Teilnehmer einer Sommerfreizeit waren so nett, sich virtuell zu verewigen. Man hat Namen, Adressen und sogar Geburtstage im Netz hinterlassen. Man denkt aneinander, man bleibt in Verbindung. Schön fürs Kontaktepflegen – und schön für uns, denn damit haben wir alles, was wir brauchen… Als potentielles Opfer nehmen wir Lisa B. … laut Internet-Seite Baujahr 1984. Die 19jährige wohnt im schönen G. – und hat für uns nebst Ihrer Anschrift sogar noch Telefonnummer und GMX-Adresse hinterlassen. Betrüger’s Paradies auf der Sommerfreizeit-Seite. Sollte’s mit Lisa nicht klappen, hätten wir noch 35 weitere „Freizeit-Fahrer“ zur Auswahl. Aber zurück zur kleinen Lisa…

Ihre Daten geben wir bei eBay unter „Anmeldung“ ein. Schließlich wollen wir im Bedarfsfall, dass die grünen Jungs an Ihrer Haustür klingeln – und nicht an unserer. Während wir als Wolf im Schafspelz bei eBay unser Unwesen treiben, wird sich Klein-Lisa mit Vorladungen und Verdächtigungen herumschlagen müssen.

E-Mail-Adresse gefällig? – Kein Problem… Weiter im Text: Jetzt will eBay auch noch eine E-Mail-Adresse von uns. Nun, die so vertrauensvolle Lisa hat zwar eine eigene hinterlassen. Der Spaß bringt jedoch wenig. Wissen wir doch, dass eBay nach erfolgreicher Prüfung stets eine E-Mail mit Freischaltcode an die bei der Anmeldung angegebene Adresse schickt.

Kluger Mann, was nun? – Ein neues Browser-Fenster muss her. Eine E-Mail-Adresse? – eBay, könnt ihr haben! GMX angeklickt und dort ebenfalls zur Anmeldung. Auch hier schreiben wir Lisas gesammelte Daten rein, muss ja alles seine Richtigkeit haben oder? Die größte Schwierigkeit bildet der Account-Name. Jetzt ist Kreativität gefragt. Kurz nachgedacht und dann: Ja, 0815betrueger@gmx.de soll es sein. Eine alternative E-Mail-Adresse geben wir GMX natürlich nicht. Nicht, dass uns die grüne Truppe letztendlich doch noch auf die Schliche kommt. Aerobic und Börsenzocking - Die virtuelle Lisa B. Nächster Klick: GMX will wissen, was Lisa sonst noch so drauf hat. Sagen wir: Sie hat Abitur, keine Kinder, dafür DSL und verdient unter 1.000 Euro pro Monat. Der Verdienst könnte sich bald ändern. Nicht für sie, aber für den eigentlichen Nutzer Ihres Accounts – für uns, die potentiellen eBay-Millionen-Schäffler. Noch ein Klick und fertig? Nein, der Free-Mailer nervt noch ein wenig mit Lisas Interessensgebieten. Meine Herrn, ihr stellt Fragen! Was macht eine 19jährige Camperin aus G. wohl in Ihrer Freizeit? – Aerobic vielleicht? Kurztrips? Ein wenig Aktienbörse? – Klar doch, für Geld klicken wir alles. Ein paar Klicks noch und fertig ist das Kunstprodukt…

eBay-Account: 0815betrueger Jetzt wird’s spannend: Wir tragen die E-Mail-Adresse bei der eBay-Anmeldung ein. Ganz unten müssen wir noch einen Account-Namen kreieren. Wie wär’s mit 0815betrueger? – Klingt prima! Geklickt, es beginnt der ominöse Schufa-Check. Binnen 10 Sekunden poppt das nächste Fenster: „Sie haben’s fast geschafft. eBay hat gerade eine E-Mail an folgende Adresse geschickt: 0815betrueger@gmx.de. Klicken Sie auf den Link in dieser Mail.“ Gelächter vorm Rechner. Sollte das wirklich so einfach sein?

Wir öffnen GMX – und tatsächlich: Die Mail ist da. Der Link geklickt, eBay poppt auf und begrüßt uns artig – „Herzlich willkommen, 0815betrueger“. 3-2-1-meins. Wir sind drin. Mit Fake-Account und völlig fremden Daten. Zwei Wochen sind’s noch bis Weihnachten. Wenn wir wollten, hätten wir in Windeseile Geld-Geschenke zum Nulltarif. Und wenn uns der Boden unter Lisa’s Account zu heiß würde? Nun, da ständen noch dutzende weitere Sommerfreizeitler, Kaffee-Fahrer und Kegelclubs mit Namen, Geburtstagen und Adressen im Netz Gewehr bei Fuß. Der Trickserei zweiter Teil Der Schufa-Trick funktioniert im Übrigen auch bei bereits bestehenden Accounts. Wer seine Daten ändern möchte, muss nur den Schufa-Test bestehen – und wohnt, heißt und telefoniert in Nullkommanichts im Nirwana. Ob alte Daten nach einer Änderung von eBay gespeichert werden, wollte uns man im Auktionshaus nicht verraten: „Zu diesem Thema hat eBay keine Informationen veröffentlicht.“

Warum das Ganze? Nein, wir sind nicht übernacht von Verbraucherschützer zu Online-Betrügern mutiert. Solche Aktivitäten überlassen wir dem Abschaum des Netzes. Sämtliche Accounts haben wir inzwischen wieder geschlossen. Die kleine Lisa ist ebenfalls informiert – und wird hoffentlich Ihre Daten schleunigst herunternehmen.

Wir wollten zeigen, dass es für Kriminelle keines Bugs und keiner Hackerei bedarf, um bei eBay mit falschen Identitäten aufzutreten. Zwar beschleunigt und vereinfacht die Schufa-Prüfung für Verbraucher den eBay-Zugang immens. Auch ist’s wohl für eBay um einiges billiger ist, als jeden Kunden postalisch anzuschreiben und seine Anmeldung zu hinterfragen. Doch welch im schönsten Fall groben Unfug, im schlimmsten Fall bösartigen Betrug man damit veranstalten kann, hat dieser Test zur Genüge gezeigt. Vielleicht sollte eBay doch wieder zur guten alten Post zurückkehren…

 

Fazit: Passt auf Eure Daten auf!!!

Möchten Sie noch mehr zu diesem Thema wissen? Geben Sie hier Ihren Suchbegriff ein!

Google