Internetauktionen: Gravierende Sicherheitsmängel verunsichern Kunden
Falsche Konten, manipulierte Bewertungen, Passwort-Klau: Betrüger stellen bei Internetauktionen immer wieder neue Fallen.
Inhalt
K-Tipp 7/2004
07.04.2004
Gery Schwager - gschwager@ktipp.ch
Bewertungsprofile gehören zum Inventar fast aller Auktionsplattformen im Internet. Sie sollen es Teilnehmern ermöglichen, sich über die Seriosität von Anbietern und Käufern ein Bild zu machen. Verfasst werden die Profile, indem sich Anbieter und Verkäufer nach abgeschlossenem Geschäft jeweils gegenseitig eine Note - «positiv», «neutral» oder «negativ» - erteilen.
Franz Fueter (Name geändert) hält nichts mehr von diesen Bewertungsprofilen. Grund: Als Neumitglied bei ...
Bewertungsprofile gehören zum Inventar fast aller Auktionsplattformen im Internet. Sie sollen es Teilnehmern ermöglichen, sich über die Seriosität von Anbietern und Käufern ein Bild zu machen. Verfasst werden die Profile, indem sich Anbieter und Verkäufer nach abgeschlossenem Geschäft jeweils gegenseitig eine Note - «positiv», «neutral» oder «negativ» - erteilen.
Franz Fueter (Name geändert) hält nichts mehr von diesen Bewertungsprofilen. Grund: Als Neumitglied bei Ebay hatte er einen Anbieter negativ bewertet - und von diesem umgehend auch eine schlechte Note erhalten.
Betrüger sind erneut einen Schritt weiter
Bei Fueter fiel dieser «Tolggen» allerdings weit stärker ins Gewicht, weil sein Profil noch keine anderen Bewertungen aufwies - und Ebay Teilnehmer mit einem hohen Anteil schlechter Noten ausschliessen kann. «Die Lehre daraus: Käufer, gib keine schlechte Bewertung ab, sonst riskierst du eine Retourkutsche mit nachfolgender Sperre», ärgert sich Fueter.
Ebay-Sprecher Joachim Guentert relativiert. «Das Handeln und Leben auf dem Ebay-Marktplatz ist durch ein hohes Mass an freundlichem Miteinander bestimmt», verkündet er. Fueters Erlebnis ist für Guentert «eine Ausnahme». Weniger bagatellisierend tönts bei Peter Oertlin vom Auktionshaus Ricardo, der nüchtern konstatiert, dass sich solche Fälle kaum vermeiden liessen.
Doch es gibt noch weitere Gründe, den Bewertungsprofilen nicht blind zu vertrauen. Bereits vor zwei Jahren hat der K-Tipp darauf hingewiesen, dass Anbieter Einträge manipulieren können, indem sie sich unter anderem Namen selber gute Noten geben oder Freunde und Bekannte zu solchen veranlassen (K-Tipp 3/02).
Inzwischen sind die Betrüger wieder einen Schritt weiter und haben auf Ebay Bewertungsprofile technisch verfälscht. Laut Andreas Perband, Ressortleiter Software bei der Computerzeitschrift «PC-Welt», haben sie dazu in die Verkaufsanzeige ein kleines Javascript-Programm integriert. Wenn nun jemand das Angebot aufruft, aktiviert sich das Progrämmchen automatisch und präsentiert dem potenziellen Käufer statt der echten eine gefälschte, natürlich beeindruckend positive Bewertung.
Ganz ähnlich sei es auch möglich, ahnungslose Interessenten unbemerkt auf einen fremden Server umzuleiten, ihnen eine gefälschte Login-Seite vorzusetzen und sie so zur Preisgabe ihres Ebay-Passworts zu verleiten, so Perband. «PC-Welt» hats durchgespielt - mit Erfolg.
Bei Ebay wiegelt man ab: Die überwältigende Mehrheit aller Geschäfte verlaufe ohne jegliche Beanstandung, so Joachim Guentert.
Aber natürlich werde es bei weltweit über 94 Millionen Ebay-Mitgliedern «immer auch ein paar schwarze Schafe geben».
Zu befürchten ist übrigens, dass derartige Machenschaften bei diversen Online-Auktionen möglich sind. «Prinzipiell besteht die Gefahr bei jeder Website, die Javascript zulässt», sagt Perband.
«Wir prüfen, ob das bei uns möglich wäre»
Javascript verwendet Ricardo eigenen Angaben zufolge nicht; deshalb sollten solche Betrügereien «auf ricardo.ch nicht möglich sein», so Peter Oertlin. Vorsichtiger formuliert es Lothar Fuchs vom Auktionshaus Echtwahr: «Bis jetzt hatten wir keinen solchen Fall, werden aber prüfen, ob das bei uns auch möglich wäre.»
Sind Sie der Ansicht, dass Internet-Auktionshäuser genug für die Sicherheit ihrer Kunden unternehmen? Antworten Sie bitte auf www.ktipp.ch.
«Für Gauner ist tricksen immer möglich»
Bei Online-Auktionen wissen Anbieter manchmal gar nicht, dass sie etwas verkaufen.
Ja, es seien Fälle bekannt, «in denen es Dritten möglich war, Kontrolle über bestehende Mitgliedskonten zu erlangen», räumte Ebay letzten September ein, als der K-Tipp erstmals über betrügerische Lockvogelangebote bei Internetauktionen berichtete (siehe K-Tipp 14/03). Seither ist das Sicherheitsproblem bei den Ebay-Konten offenbar nicht kleiner geworden.
In Deutschland ist es Betrügern nämlich gelungen, auch über neue Verkaufskonten zu operieren - dort etwa nicht existierende Waren anzubieten, dafür einzukassieren und dann abzutauchen. Die Konten hatten sie bei Ebay unter Namen, Adresse und Geburtsdatum ahnungsloser Leute eröffnet.
Möglich war das, so Internetexperte Andreas Perband, weil Ebay bei Anmeldungen die Identität nicht ausreichend prüfe. Wie viele falsche Verkaufskonten aktenkundig sind, ist bei Ebay nicht zu erfahren.
Mit falschen Konten sahen sich auch andere Auktionshäuser schon konfrontiert. Was tun? Lothar Fuchs vom Anbieter Echtwahr tönt resigniert: «Gauner finden immer Möglichkeiten, bei Anmeldungen zu tricksen.»
