eBay startet einen Schutz, der es erschweren soll, mit gehackten Accounts Ware zu verkaufen. Der Prozess ist zweistufig und setzt nicht nur auf reine Software-Lösungen. Einen Account per Phishing oder anderweitig hacken, die Kontodaten ändern und dann einen massiven Schwall an Ware einstellen, dafür kassieren und nie liefern. So sieht ein häufiges Szenario aus, wenn Betrüger einen Account karpern. eBay will jetzt massiver dagegen vorgehen.
Der erste Schritt dieses neuen Schutzmechanismus ist zunächst Browser-basiert. Meldet sich ein Mitglied bei eBay an, hinterlegt die Webseite ein Flash-Cookie oder alternativ ein permanentes HTTP-Cookie. Die Aufgabe des Cookies ist, zu prüfen, ob der eBay-Account häufiger mit diesem PC angewählt wird. Im zweiten Schritt, der ab der Jahresmitte greifen soll, wird diese Auswertung der Cookies dann genutzt, wenn der Nutzer ein Angebot auf eBay einstellen möchte.
Zeigt die Cookie-Auswertung, dass dieser Nutzer sich häufig bis regelmäßig mit diesem Computer in den Account einwählt, dann läuft das Einstellen eines Angebotes ganz normal durch. Ergibt die Auswertung jedoch, dass der Computer, von dem aus das Angebot gesendet werden soll, selten oder bisher noch nie benutzt wurde, um sich in den Account einzuloggen, dann greift der „Offline-Teil“ dieses Schutzsystems. Denn jetzt ruft eBay die vom Nutzer im Account hinterlegte Telefonnummer an und teilt darüber einen Code mit, ohne den das Angebot nicht gestartet werden kann.
eBay prüft dabei auch gleichzeitig, ob die Kontaktdaten kürzlich geändert wurden, um sicherzustellen, dass der Hacker nicht auf genau diese Weise einsprechende Gegenmaßnahmen probiert. Sollten die Kontaktdaten geändert worden sein, dann wird der in den Account eingeloggte Nutzer aufgefordert, selbst bei eBay anzurufen und sich zu legitimieren. Spätestens jetzt dürfte das einen Hacker abschrecken, denn ein Betrüger wird stets vermeiden, persönlich mit eBay in Kontakt zu treten.
Abschrecken könnte das aber auch normale ehrliche Nutzer, denn sobald die zweite Stufe dieses Mechanismus aktiv wird, weil der Anwender z.B. Einen neuen PC hat oder eben doch mal einen anderen Rechner nutzt, jetzt einen nervigen Aufwand hat, um sein Angebot zu starten.
Grundsätzlich ist es gut, das eBay hier deutlich aktiver wird und der Grundgedanke, einen Teil dieses Schutzmechanismus bewusst „offline“ per Telefon zu etablieren, also über einen Kommunikationsweg, der nicht wie Browser oder E-Mail-Header programmiert oder konfiguriert werden kann, ist genau richtig. Natürlich macht das eBay abermals komplexer und auch komplizierter. Die Erfahrung wird zeigen, wie sich dieses System bewährt.
Unsere Fundstellen zum Thema:
