IDENTITÄTSKLAU MIT FREMDE EBAY-ACCOUNTS

Aufrufe 8 Mal bewertet mit „Gefällt mir” Kommentare Kommentar
Mag ich anklicken, wenn dieser Ratgeber hilfreich war

Mit immer neuen Tricks versuchen Betrüger, eBay-Accounts zu knacken. Selbst wer gar kein eBay-Mitglied ist, kann Opfer von Identitätsklau werden - ein Problem das bis zum Bundesgerichtshof vorgedrungen ist

Ein eBay-Mitglied war verzweifelt: In zwei Tagen lief die Auktion für ein Artikel bei eBay aus - doch sie kam nicht mehr auf die Seite. Immer wenn sie www.ebay.de aufrief, erschien eine russische Seite in gebrochenem Deutsch. Dort wurde eine kostenpflichtige Software angeboten, mit der sie das Problem angeblich beheben könne. Das eBay-Mitglied hatte aber keine Kreditkarte - und traute der Seite auch nicht. Zu Recht: Der Inhaber der russischen Seite hatte es irgentwie geschafft, über einen Trojaner auf dem PC von dem eBay-Mitglied die Datei "hosts" zu manipulieren, die es auf jedem internetfähigen Computersystem gibt und die im Originalzustand leer ist. Hier hatte der Störenfried eine andere Internet-Adresse  für www.ebay.de eingetragen, sodass das eBay-Mitglied innerhalb ihres Computers auf eine falsche Seite umgeleitet wurde. Diese Vorgehensweise heißt "Pharming", analog zum "Phishing", dem Passwortdiebstahl mit nachgebauten Webseiten oder Trojanern. Nachdem sich das eBay-Mitglied in einem Forum schlaugemacht hatte und darauf hin die "hosts" - Datei gelöscht hatte, war der Spuk vorbei. Es hatte sich offensichtlich nichts permanent im System festgesetzt und sie konnte ihren Artikel erstehen. Doch hatte sie noch Glück gehabt: Oft befinden sich auf derartigen "umgeleiteten" Webseiten eine nachgebaute eBay-Seite. Es erscheint also genau, was man erwartet, und jeder wird ohne Bedenken seinen Benutzernamen und sein Passwort eingeben - und so die Daten nichts ahnend in die Hände von Betrügern geben. Die können den fremden Account dann nach belieben für betrügerische Verkäufe nutzen.

Dieses Beispiel zeigt: Die Tricks der Internetbetrüger werden immer tückischer. Zwar werden immer noch viele Menschen Opfer von Identitätsklau, weil sie viel zu sorglos mit sensiblen Daten umgehen: Sie sagen Freunden, Kollegen oder gar Unbekannten ihr Passwort oder klicken auf Links in dubiosen E-Mails, die auf gefälschte eBay-Seiten führen. Doch auch wer vorsichtig ist und eBay nur über seine Lesezeichen aufruft oder ebay.de in die Adresszeile seines Browser tippt, kann dabei reingelegt werden.

DIE FOLGEN von Identitätsklau können massiv sein. Ein anderes eBay-Mitglied kann ein Lied davon singen: Anfang November hatte sie zuletzt über ihren eBay-Account etwas verkauft. Danach hatte sie den Marktplatz nicht mehr besucht. Anfang Dezember entdeckte sie eine Belastung für eBay-Gebühren auf dem Bankkonto. Da aus ihrer Sicht keine Rechnungen offen waren, ließ sie die Lastschrift zurückgehen. Natürlich wollte sie auch in ihrem eBay-Account nachsehen, wodurch diese Rechnung entstanden sein sollte - doch ihr Passwort funktionierte nicht mehr. Ohne Einloggen konnte sie auch nicht wie gewohnt mit eBay Kontakt aufnehmen. Den Hinweis auf das Einloggen als Gast ("Wählen Sie diese Option, wenn Sie Probleme beim Einloggen haben oder als Gast fortfahren möchten") hatte sie übersehen. Ende Dezember rief schließlich jemand an, der über Umwege die Telefonnummer des eBay-Mitglieds herausgefunden hatte. Er hatte bereits eine Goldmünze gegen einen vierstelligen Betrag ersteigert und bezahlt - bei dem Account des eBay-Mitglieds, aber bei einer anderen E-Mail- und Postadresse. Sie erzählte dem betrogenen Käufer, was sie wusste; er schaltete die Polizei ein und gab zu ihrem Mitgliedsnamen eine Bewertung mit dem Verweis "Betrug" ab.

Zumindest dieses Problem lässt sich nachträglich beheben; "Wird das später mit eBay geklärt und die Übernahme des Mitgliedskontos erfolgreich rückgängig gemacht, so werden Bewertungen aus der Zeit der ungewollten Übernahme wieder entfernt" sagt die Pressesprecherin von eBay. Wie der Account des eBay-Mitglieds geknackt wurde, weiß diese bis heute nicht. "Eine Möglichkeit wäre, dass über einen Trojaner Schadsoftware auf den Rechner gelangt ist". Davon abgesehen gibt es Verhaltensweisen, bei denen auch ein vermeintlich sicheres Passwort keinen Schutz bietet: Wer etwa seine eBay-Account mit einer E-Mail-Adresse verknüpft, auf die zum Beispiel Kollegen zugreifen können, lädt geradezu zum Identitätsklau ein. Doch selbst wenn Sie alle gängigen Sicherheitsregeln beachten -Ihr Passwort geheim halten und sich keine Trojaner einfangen, die Ihren Computer manipulieren, - kann es passieren, dass jemand in Ihrem Namen Handel treibt.

Um Opfer eines Identitätsmissbrauchs zu werden, muss man übrigens keinen eBay-Account oder auch nur Computer besitzen. Bislang kann jeder Benutzerkonten mit Namen und Adresse anderer anlegen. Ebay prüft bei der Anmeldung mittels Schufa-Anfrage, ob Namens- und Adressdaten stimmig sind - nicht aber, ob die zur Freischaltung nötige E-Mail tatsächlich beim angeblichen Account-Inhaber ankommt. Verhindern ließen sich solche Fremdanmeldungen mit dem Postident-Verfahren, das etwa bei der Eröffnung von Online-Bankkonten üblich ist: Man weist sich gegenüber einem Postbeamten aus, ehe der Account freigeschaltet wird. Zwar bietet eBay diese Identitäts-Verifizierung auch an, jedoch - außer für Powerseller - auf freiwilliger Basis. Das kann auch so bleiben, urteilte im April der Bundesgerichtshof. Doch sie machen auch klar: Sobald eBay von einem Betroffenen darüber informiert wurde, dass sein Name missbraucht wurde, muss es "im Rahmen des Zumutbaren" verhindern, dass sich der Vorfall wiederholt. Wer es gar nicht erst dazu kommen lassen will, dass sein Name missbraucht wird, sollte Postident nutzen: Verifizierte Mitglieder können eine Sperre dagegen setzen, dass weitere Migliedskonten mit diesem Namen und dieser Adresse angelegt werden. Dazu muss man in "Mein eBay" bei "Adressen" auf "ändern" klicken und dann die Sperre aktivieren.

WER DAGEGEN auf solche Sicherheitsmaßnahmen verzichtet, lässt zumindest theoretisch zu, dass Dritte weitere Accounts in seinem Namen anlegen. Das müssen ja nicht gleich Kriminelle sein - auch Scherzbolde oder böswillige eBay-Kontakte, die über einen Kauf oder Verkauf an die Adressdaten gekommen sind, können so eine Menge Ärger verursachen. Ebay hat inzwischen einige Maßnahmen ergriffen, um den Missbrauch von ebay-Accounts zu verhindern. "Zum Beispiel fahndet eine spezielle Software nach für Betrügern typischen Nutzungsweisen, um die Übernahme von Mitgliedskonten automatisch sehr schnell zu erkennen". Außerdem ermittelt eBay mit sogenannten Flash-Cookies, von welchem Computern aus ein Verkäufer auf dem Markzplatz normalerweise aktiv ist. Demnächst will sich eBay dann per Telefon die Identität von Mitgliedern bestätigen lassen, die von einem zuvor nicht genutzten Rechner aus Ware anbieten.

 

SO SCHÜTZEN SIE IHR MITGLIEDSKONTO

 

PASSWORT: Niemand, der Sie kennt, darf Ihren Zugriffscode erraten können. Geburtsdaten und Namen von Partnern oder Haustieren sollten ebenso tabu sein wie Allerwelts-Passwörter a la "Passwort" oder "123456"". Am sichersten ist eine sinnfreie Kombination aus Zahlen und Groß- und Kleinbuchstaben. Diese sollten, Sie natürlich nicht auf einem Zettel notieren, der irgentwo herumliegt. Unter passwortcheck.datenschutz.ch können sie prüfen, wie sicher Ihr Passwort ist.

E-MAIL: Verknüpfen Sie ihren eBay-Account nicht mit einer E-Mail-Adresse, die - auch über eine Weiterleitung - Dritten zugäglich ist. In eBay-Newslettern wird Ihr Account-Name genannt - das zugehörige Passwort kann ein Kollege, der im Urlaub die Büro-E-Mail liest, sich leicht über die Funktion "Passwort vergessen" holen.

PHISHING: Klicken Sie nicht auf links in E-Mails, mit denen sie sich angeblich "direkt bei eBay" einloggen können. Sie landen sicher auf einer gefälschten Seite. Geben Sie nie Ihr Passwort heraus, egal weshalb man Sie darum bittet. Echte eBay-Mitarbeiter fragen nicht nach Ihrem Passwort. Klicken Sie auch keine angeblichen Grußkarten oder Spiele in E-Mail-Anhängen an. Aktualisieren Sie regelmäßig Browswer und Betriebssystem und benutzen Sie einen aktuellen Virenscanner - sonst fangen Sie sich schnell einen Trojaner ein, der Ihr Passwort entwendet. Schutz vor Phishing bietet auch die eBay-Toolbar, www.ebay.de/ebay_toolbar. Diese kostenlose Symbolleiste (nur Windows) wird in Ihren Browser integriert und warnt Sie vor gefälschten eBay-Seiten.

PHARMING: Auch hier gilt: Schützen Sie sich vor Trojanern und manipulierenden Webseiten. Überprüfen Sie Ihre hosts-Datei (unter Windows XP: C:/windows/system32/drivers/etc/hosts) und setzen Sie diese auf Read-Only (im Windows-Explorer rechter Mausklick auf die Datei "Eigenschaften"wählen und Attribut "schreibgeschützt" aktivieren). Zusätzlich gilt: Installieren Sie nie unverlangt angebotene Software.

 

Allerdings keine Maßnahme kann absoluten Schutz bieten - schon gar nicht vor Berufskriminellen

Möchten Sie Ihr Wissen weitergeben? Erstellen Sie Ihren eigenen Ratgeber… Verfassen Sie einen Ratgeber
Weitere Ratgeber erkunden