In der Angebotsbeschreibung haben wir nichts gefunden, was darauf hinweist. Nirgendwo wird erwähnt, dass ein Aufschlag berechnet wird, wenn man mit PayPal bezahlt, aber PayPal wird als bevorzugtes Zahlungsmittel angegeben. Wenn man dann, wie wir, kauft und danach die Kaufabwicklung mit dem von diesem Anbieter genutzten Afterbuy-System ansteht, erlebt man die böse Überraschung. Wie Sie im Screenshot sehen, wird für die Zahlung mit PayPal in unserem Fall 0,41 Euro oder für „PayPal eXpress“ (die Ware wird hier einfach nur sofort verschickt, anstatt erst nach „2-3 Tagen“ 4,31 Euro verlangt.

Eindeutig wälzt diese Verkäufer damit ganz dreist, ganz „offiziell“, ganz und gar ohne Vorwarnung und vor allem ganz und gar im Widerspruch zu den AGB von PayPal die Gebühren, die ihm durch PayPal entstehen, auf den Käufer ab. Mehr noch! Durch den Pseudo-Express-Service, der mit 4,31 Euro veranschlagt wird, der aber keinen Versand per Expresspaket beinhaltet sondern einfach nur eine etwas schnellere interne Abwicklung, macht dieser Power Seller noch mal zusätzlich Kasse! Wer sich auf diese krumme Tour einlässt, finanziert dem Verkäufer damit die PayPal-Gebühren und sicher noch einen Teil der eBay-Gebühren.

Für den von uns zu zahlenden Betrag von rund 30 Euro fallen rund 1 Euro PayPal-Gebühren an, da ein so großer Power Seller eine entsprechend gute Rabattstaffel bei payPal schaffen wird. Bei den eBay Gebühren haben wir rund 1,30 Euro ermittelt, die unser Einkauf den Verkäufer kostet. Hätten wir also diesen ominösen PayPal eXpress-Service in Anspruch genommen, dann wären von diesen 4,31 Euro noch runde 2 Euro hängen geblieben, die dieser Verkäufer durch seinen Verstoß gegen die PayPal AGB zusätzlich im Sack hätte.

Wir haben per Überweisung bezahlt, obwohl wir ursprünglich geplant hatten, mit PayPal zu bezahlen. Der besagte Power Seller hat im letzten Monat knapp 5400 Bewertungen bekommen. Nehmen wir an „nur“ die Hälfte dieser Käufer bezahlt per PayPal und nehmen wir an diese würden nur die „kleine“ PayPal-Gebührenabwälzung von 0,41 Euro bezahlen, dann hätte dieser Power Seller über 1.100 Euro zusätzlich kassiert, indem er gegen die PayPal AGB verstößt und die Gebühren abwälzt. Sie können selbst ausrechnen, wie viel er einsackt, wenn eine bestimmte Zahl dieser 5400 Käufer die PayPal eXpress-Gebühr abdrückt! Getreu dem Motto Dreistigkeit siegt, wird „hinten rum“ über die Abwicklung – diese Masche wird ja nicht nur über Afterbuy realisiert, sondern jedes beliebige andere Kaufabwicklungssystem – mit dem wissentlichen Verstoß gegen die AGB von PayPal noch einmal für eine „Refinanzierung“ der eBay- & PayPal-Gebühren gesorgt. Und dieser von uns „erwischte“ Power Seller ist nicht allein auf weiter Flur, sondern mit der Masche in guter Gesellschaft.

Für eBay indes ist es schwer, diese Masche aufzudecken, da die Gebührenabwälzung erst nach dem Verkauf offensichtlich wird. Obwohl eBay ist ja seit einigen Wochen durch die Übernahme „Besitzer“ von Afterbuy……..

Die Masche
In den letzten Wochen kommen neben den vielen eBay-Phishing-Mails auch immer öfter englischsprachige Mails, die mir vorgaukeln wollen, dass mit meinem Amazon Account etwas nicht stimmt und ich mich eben schnell einloggen solle, um die Unstimmigkeiten zu prüfen und den Account zu bestätigen. Die Masche ist wie immer die gleiche:

1. Es wird ein Problem „behauptet“:

“We are contacting you to inform you that our Account Review Team identified some unusual activity in your account …..“

Übersetzung: Wir kontaktieren Sie, um Sie zu informieren, dass unser Account Überwachungs-Team einige ungewöhnliche Vorgänge in Ihrem Account festgestellt hat ….

2. Man wird dann aufgefordert, sich über einen Link einzuloggen

“To securely confirm your Amazon information please click on the link below:”

Übersetzung: Um Ihre Amazon Informationen sicher zu bestätigen, klicken Sie auf den nachfolgenden Link.

Dieser Link sieht optisch aus, als wäre es ein Amazon-Link, doch das Ziel dieses Links ist dann eine Phishing-Seite, die Benutzernamen und Passwort ausspähen soll, indem Sie die Amazon Login-Seite täuschend echt imitiert.

3. Es wird Zeitdruck und Zwang erzeugt:

„This process is mandatory, and if not completed within the nearest time your account or credit card may be subject for temporary suspension.“

Übersetzung: “Diese Vorgehensweise ist verpflichtend. Wenn das nicht in kürzester Zeit geschieht, könnte Ihr Account oder Ihre Kreditkarte vorübergehend gesperrt werden.”

Das Ziel des Angriffs
Ziel ist es, dem Benutzer zunächst ein Sicherheitsproblem mit seinem Account vorzugaukeln, ihm Angst und Zeitdruck zu machen, damit er nicht nachdenkt, sondern in Panik sofort den Link anklickt, die gefälschte aber Amazon täuschend echt nachempfundene Login-Seite öffnet, und sich (vermeintlich) bei Amazon einloggt. Oft genug wird er danach direkt zu Amazon weitergeleitet, aber sein Benutzername und Passwort sind damit bereits gestohlen!

Gefahr erkannt, Gefahr gebannt
Nicht auf diese Masche herein zu fallen, egal ob der Phishing-Angriff eBay, oder PayPal, oder wie eben in den neuen Fällen immer öfter Amazon zum Ziel hat, ist einfach. Es reichen gesunder Menschenverstand und „Bordmittel“ eines PCs aus.

Zunächst bei solchen Fällen immer skeptisch bleiben! Ist die Mail in Englisch, sollte man sich zunächst fragen, warum einem Amazon (oder eBay, oder PayPal, etc.) auf einmal in Englisch schreibt, denn ansonsten sind ja alle Mails von Amazon immer in deutscher Sprache. Sollte die Mail tatsächlich deutsch sein, dann gründlich lesen, denn meistens entlarven sich diese ins Deutsche übersetzte Phishing-Mails durch zahlreiche gravierende Rechtschreib- und Grammatikfehler sowie sehr merkwürdige Formulierungen. Man merkt meist, dass hier ein Stümper oder eine automatisierte Übersetzung am Werk war. Ein weiterer Punkt ist, dass Anbieter wie Amazon, eBay oder PayPal niemals per Mail auffordern werden, Benutzername oder Passwort zu mailen oder irgendwo einzutragen.

Wenn Ihr Mail-Programm so eingestellt ist, dass es HTML-Mails als HTML-Mail darstellt, also mit Designelementen, Grafiken und Formatierungen, dann schalten Sie die Ansicht auf „Nur Text“ um. Damit haben Sie die Phishing-Mail in der Regel bereits entlarvt, denn der Nur-Text-Modus zeigt auch die tatsächlichen Links, die sich hinter den angeblichen und in der HTML-Ansicht ausschließlich sichtbaren, verstecken. Sie sehen das sehr schön in unseren Screenshots.

Heutzutage sind Browser schon oft mit Phishing-Abwehrfunktionen ausgestattet. Eine Sicherheitsroutine überprüft, ob ein Linkziel echt ist und schlägt Alarm, wenn das nicht so ist. Diese Funktionen bekommen Sie beispielsweise in der eBay-Toolbar für den Internet Explorer oder dem Firefox Addin für den Bereich eBay & PayPal. Aber wie gesagt, viele aktuelle Browser haben einen generellen Phishing-Schutz bereits serienmäßig an Bord. Ein immer aktueller Virenscanner und eine Firewall schützen Sie auch dann vor Überraschungen, wenn eine vermeintliche Phishing-Mail in Wahrheit ein Viren-Angriff sein sollte. Zudem haben mittlerweile auch zahlreiche Antiviren-Tools eine Phishing-Abwehr mit im Waffenarsenal gegen Schädlinge.

Fazit: Phishing-Attacken sind nach wie vor ein Problem und mittlerweile weichen die Angreifer auf neue Ziele wie Amazon aus. Aber Phishing-Mails zu erkennen und nicht darauf rein zu fallen ist einfach. Das beste Mittel ist der gesunde Menschenverstand und ein gutes Maß an Skepsis. Den Rest übernehmen entsprechende Tools auf Ihrem PC, vorausgesetzt, diese sind auf dem aktuellen Stand!

Mittlerweile wird bei der Funktion, die PayPal für den Fall anbietet, das der kleine Sicherheitsschlüssel defekt oder verloren ist, nicht mehr die Möglichkeit geboten, die Bankkontodaten als Identifizierungsmerkmal einzugeben. Jetzt muss der Benutzer zwei von Ihm zuvor hinterlegte Sicherheitsabfragen beantworten, um an sein PayPal-Account ohne den sechsstelligen Code des Sicherheitsschlüssels zu gelangen.

Bankdaten stehen oft in eBay-Angeboten gewerblicher Händler drin und spätestens ein Scheinkauf mit der Überweisung als gewähltem Zahlungsmittel enthüllt einem Angreifer die Bankkontodaten. Nach einem erfolgreichen Phishing-Angriff wäre es also möglich gewesen, den Account mit Hilfe der Bankdaten zu knacken. Sicher, bevor die Bankdaten zum Einsatz kommen konnten, musste ein Angreifer erst einmal den Benutzernamen und das Passwort erspähen, aber Phishing-Mails in Sachen eBay und PayPal kommen ja en masse.

Durch PayPal sinnvolle Reaktion, die Bankkonto-Daten nicht mehr zur Identifizierung zuzulassen, wurde dieses Risiko jetzt wirkungsvoll eliminiert. Denn die zwei Sicherheitsfragen, die jetzt benötigt werden, um ohne den Schlüssel den Account zu öffnen, sind für Angreifer kaum und wenn nur sehr schwer zu ermitteln. Jetzt ist der kleine graue Schlüsselanhänger von PayPal wieder eine echte Bereicherung in Sachen Sicherheit

Die Idee ist also sehr gut, denn es müsste einem Angreifer gelingen, dem Konto-Inhaber diesen Sicherheitsschlüssel zu stehlen. Doch ein Sicherheitssystem ist leider immer nur so gut, wie dessen Implementierung. Und hier hat PayPal leider ein Problem übersehen oder unterschätzt und führt dieses eigentlich geniale System selbst teilweise ad absurdum.

Hintertür steht weit offen!
Die Sicherheitslücke klafft in der Gestalt der Hintertür, über die der eigentliche Kontobesitzer an sein Konto heran kommt, wenn der Sicherheitsschlüssen abhanden kommt, daheim vergessen wurde oder durch eine leere (nicht austauschbare) Batterie oder einen Defekt unbrauchbar ist. Für diesen Fall muss ja ein Weg ermöglicht werden, dass der Konto-Inhaber auch ohne den Sicherheitsschlüssel noch an sein Konto gelangen kann. Leider ist diese Hintertür derart einfach gestaltet, dass auch jeder Betrüger darüber sehr leicht das Konto knacken könnte.

Nach der Eingabe von Benutzer-E-Mail und Passwort kommt die Abfrage des Sicherheitscodes. Hier muss der Angreifer nur auf den Link „Ich habe keinen Zugriff auf meinen Sicherheitsschlüssel“ klicken. Damit klopft er sozusagen an die Hintertür!

In der nächsten Frage will PayPal wissen, ob der Schlüssel nur momentan nicht zur Verfügung steht (liegt zu Hause, etc.) oder ob er verloren wurde oder defekt ist. Unser Angreifer klickt nun die erste Auswahl an und behauptet, nur temporär keinen Zugriff zu haben.

Im nun folgenden Schritt wird er gefragt, ob er über die Angabe seines Bankkontos oder über die Beantwortung seiner Sicherheitsfrage seine Identität als angeblich berechtigter Kunde nachweisen möchte. Die Sicherheitsfrage wird er nicht kennen. Aber die Kontonummer ist nicht all zu schwer zu ermitteln. Er muss ja nur eine Auktion des Opfers zum Schein kaufen und nachschauen, ob in der Abwicklung alternativ zu PayPal auch die Zahlung per Überweisung angeboten wird, denn dabei werden in der Regel ja auch die Kontodaten wie die Kontonummer und die Bankleitzahl angezeigt. Und mancher Händler auf eBay hat seine Kontodaten sogar offen in der Artikelbeschreibung stehen! Mit anderen Worten es kostet mit unter kaum Mühe, diese hier abgefragten Kontodaten zu recherchieren! Er wählt hier also aus, dass er das Bankkonto angeben möchte.

Hat der echte Nutzer des PayPal-Accounts mehrere Konten hinterlegt, wird es unserem Anwender leider noch leichter gemacht, denn PayPal bietet ihm eine Dropdownliste mit dem Banknamen und den letzten beiden Ziffern des Kontos zur Auswahl. Er braucht diese Informationen nur mit seinen recherchierten Daten abzugleichen um zu sehen, ob er die richtige Kontonummer ermittelt hat. In dem Eingabefeld darunter trägt er jetzt die vollständige Kontonummer ein, klickt auf Senden ….

… und ist drin! In dem Informationsfenster wird ihm noch erklärt, wie er die Nutzung des Sicherheitsschlüssels vollständig deaktivieren kann. Ein Angreifer wird das selbstverständlich sofort tun und auch das normale Passwort abändern. Schon ist der PayPal-Account erfolgreich gekidnapt und der tatsächliche Besitzer ausgesperrt. Der Angreifer kann jetzt das Konto plündern und weiteren missbrauch damit betreiben.

Fazit:
Mit dieser Hintertür führt PayPal seinen eigentlich sehr sinnvollen und guten Schutzmechanismus leider teilweise ad absurdum! Denn man muss kein Genie sein, sondern nur etwas recherchieren, um die Informationen zu bekommen, die man braucht, um über diese Hintertür in das Konto einzudringen. Natürlich muss ein Angreifer vorher dennoch über eine Phishing-Attacke oder anderweitig die als Benutzername verwendete E-Mail und das Passwort in die Finger bekommen. Aber wenn er diese Daten hat, ist dank dieser Hintertür der kleine graue Sicherheitsschlüssel kein zuverlässiger Abwehrmechanismus gegen den unberechtigten Zugriff auf den Account!

Was kann man tun?
Das wichtigste ist, dass man für seine PayPal-Zugangsdaten unbedingt das „Zahnbürstenprinzip“ anwendet! Was bedeutet das? Ganz einfach, man sollte mit seinem Benutzernamen und vor allem dem Passwort das gleiche machen, wie mit der Zahnbürste: Häufig benutzen, nirgendwo offen herum liegen lassen und vor allem mit niemand anderem teilen und regelmäßig wechseln! Wechseln Sie also in regelmäßigen Abständen das Passwort Ihres PayPal-Accounts und natürlich auch andere Zugänge beispielsweise zu eBay! Nutzen Sie immer Passworte, die nicht leicht zu erraten sind. Tabu sind Postleitzahlen, Geburtstage, der Name von Familienangehörigen oder Haustieren sowie leicht erratbare „echte“ Wörter. Am besten ist eine „wilde“ Kombination aus Zahlen, Buchstaben und Sonderzeichen. Passworte sollten weder auf Zetteln z.B. im Portemonai stehen oder auf Computern gespeichert werden, auch wenn diese Funktion angeboten wird! Und benutzen Sie verschiedene Passworte beispielsweise für eBay und PayPal und nicht das gleiche für mehrere Dienste!

eBay kann es besser!
Übrigens. eBay benutzt ebenfalls den PayPal-Sicherheitsschlüssel, denn Sie können diesen nicht nur für PayPal, sondern zusätzlich auch für Ihr eBay-Konto nutzen. Hier aber gibt es diese Sicherheitslücke nicht. Denn wenn man hier den kleinen Code-Generator nicht bei sich hat oder er defekt ist, dann werden nicht online leicht recherchierbare Informationen abgefragt. Stattdessen erfolgt ein Anruf auf einer Telefonnummer, die man im Account hinterlegen muss. In diesem Anruf bekommt man eine einmalige PIN mitgeteilt, mit der man die Eingabe des Sicherheitscodes ein einziges mal umgehen kann! Mehr dazu hier: http://pages.ebay.de/help/confidence/account-protection-security-key.html Nun stellt sich die berechtigte Frage, warum PayPal es nicht genau so macht, schließlich ist der Zahlungsdienstleister eine 100%-Tochter von eBay!

Eine vergleichbare Handymethode wird übrigens auch zunehmend von Banken für das TAN-System benutzt. Für einen Kontobewegungsvorgang (Online-Überweisung, etc.) bekommt man keine Liste mit Transaktionsnummern (TAN) mehr, sondern es wird vom System eine einmalige TAN per SMS an das Handy des Kontoinhabers gesendet, die zudem nach einer gewissen Zahl von Minuten verfällt. Wurde diese also nicht eingegeben, ist sie nach kurzer Zeit nutzlos.