Jan Eggers

Das Interdings, soziale Medien, Journalismus und der ganze Rest.

Wie ich (beinahe) Opfer einer raffinierten Phishing-Attacke auf ebay wurde

| Keine Kommentare

Eine Geschichte, wie sie dutzendfach passiert: Ich hatte einen privaten Verkauf auf Ebay-Kleinanzeigen eingestellt, des regional orientierten Ebay-Ablegers.

Auf dieser Plattform herrscht nicht nur ein mitunter etwas verstörender Umgangston, sie ist auch nicht über ein Bewertungssystem abgesichert wie Ebay (wobei ich hier den Begriff „abgesichert“ in der weitesten möglichen Interpretation benutze).

Das scheint mit dafür verantwortlich zu sein, dass @ebayKA im Fokus automatisierter Betrugsversuche steht. Mehrfach habe ich auf neue Anzeigen hin eine SMS über eine nicht existierende Nummer bekommen mit der dringenden Bitte, doch mal diesen oder jenen Link zu klicken oder eine Mail zu schicken. Diesmal kam nicht allzu lang nach der neuen Anzeige gleich eine Mail.

Stufe 1: Das Ziel ausmachen

Nämlich diese hier:

Phishing-e-mail: "Ein Interessent hat eine Anfrage zu Ihrer Anfrage gesendet"

Darüber habe ich nicht lang nachgedacht und auf dem Tablet „Frage anzeigen“ geklickt. Man hilft ja gern.

Stufe 2: Der Angriff

Wie bei Phishing-Angriffen üblich, leitet die Mail mich auf eine Seite, die ein exakter Klon der echten Anmeldeseite ist, aber ganz woanders liegt – hier hätte man es an der völlig anderen Webadresse sehen können; andere Angriffe sind da noch etwas raffinierter und nutzen ähnliche oder völlig unleserliche Domains.

Der Clou war in diesem Fall aber: Die Anmeldedaten wurden nicht nur an Ebay-Kleinanzeigen weitergereicht, sondern gleich auch automatisiert auf ebay.de ausprobiert – in der Annahme, dass viele Menschen auf beiden Plattformen die gleichen Anmeldedaten nutzen, weil sie sie ohnehin nicht auseinanderhalten können.

In diesem Fall ein Glück: Als ich den Anmeldeversuch auf ebay bemerkte, fiel mir auf, dass ich auf einen Betrug hereingefallen war. (Das tat meinem Ego nicht ganz so weh, wie es vielleicht zu erwarten gewesen wäre – mir hat einmal ein Cybercrime-Ermittler des LKA gleich zu Beginn unseres Gesprächs erzählt, dass er auch schon Opfer eines ebay-Betrugs geworden ist.)

Stufe 3: Den Angriff abwehren

Jetzt heißt es handeln:

  • Passwörter auf ebay und ebay-kleinanzeigen.de ändern und entkoppeln – verschiedene Passwörter für beide Seiten.
  • 2-Faktor-Authentifizierung einschalten – also die Zusendung eines Sicherheitscodes aufs Handy bei jeder Anmeldung. Dummerweise ist sie bei Ebay ziemlich versteckt (mehr unten), und für ebay-kleinanzeigen gibt es sie gleich überhaupt nicht. (Schämt euch!!!)
  • Eine Mail an die Betrugsteams der beiden Unternehmen.

So, und wer bei Ebay nach der Möglichkeit sucht, den Sicherheits-Anmeldecode aufs Handy zu aktivieren: sie versteckt sich unter den Kontoeinstellungen (links oben im Dropdown-Menü unter der Nutzeranmeldung unter dem Punkt „Persönliche Daten“(!) und dann ganz unten unter „Zweistufige Verifizierung“.

Autor: Jan Eggers

Journalist. Teilzeituntergeek. Familienvater. Social-Media-Praktikant seit 2007. Sonst Multimedia beim Hessischen Rundfunk

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.