Betrug Ebay Kleinanzeigen? Aber warum?

[MR6710]

Hi!

In letzter Zeit häufen sich anscheinend die Betrugsversuche bei den Ebay-KA.
Aktueller Fall bei mir:

Ich suche per KA einen expliziten Artikel.
Anbieter 1 meldet sich: "Habe ich da,kostet 80 Euro"
Anbieter 1 ist exakt mit Datum der Anfrage bei Ebay-KA angemeldet.
Keine einzige Anzeige geschaltet bisher.
Ich lehne ab,der Anbieter meldet sich nicht mehr.

Anbieter 2 meldet sich: "Habe ich da,kostet 100 Euro"
Anbieter 2 ist seit 2 Monaten bei Ebay KA angemeldet,hinterlegter Wohnort bei Hamburg.
Keine aktuelle Anzeige
Ich sage zu,fordere aber vorab seine Adresse an,diese ist aus NORDHESSEN.
Ok,man kann ja mal umziehen.

Zahlart Paypal,aber bei Zahlung bei W&D soll ich bitte an die Gebühren denken.
Wir überweisen per W&D zzgl. Gebühren,denken,das damit alles ok sein dürfte.
Es wird ein DHL-Paketschein erstellt und die Paketnummer übermittelt.

2 Tage später erhalten wir das Geld vom Anbieter "wie besprochen" zurück.
Nach mehrfachen Kontaktversuchen erhielt ich heute von Ebay KA die Warnung,das dessen Account gesperrt wurde.

Hat der Anbieter damit gerechnet,was wir wegen den Gebühren lieber per F&F bezahlen?

Gruß,Martin

 

[xxxx]

Kleinanzeigen hat inzwischen auch einen integrierten Zahlungsdienst mit Käuferschutz.

Ich habe mir die Abwicklung von "eBay Kleinanzeigen 'Sicher Bezahlen'" vor einiger Zeit ein bisschen angeschaut.
Die "Online-Payment-Platform" wickelt die Bezahlung über einen niederländischen Treuhänder ab, der wiederum seine Daten mit weiteren Drittfirmen austauscht, die nicht namentlich benannt werden.
Diesen "Trust"-Firmen bin ich letztlich auf Gedeih und Verderb ausgeliefert. Neben deren Marketing-BlaBla weiß ich nur, dass sie an mir Geld verdienen wollen. Wenn ich nun alle meine Informationen (wer ich bin, was ich wann über welche Plattform an wen verkaufe oder von wo ich kaufe, welche Kommunikationswege genutzt werden etc.) diesen Fintechs in den Rachen werfe, kann ich schon die Stoppuhr laufen lassen, bis ich erfahre, dass deren Kundendatenbank einschließlich sensibelster Daten *leider* abhanden gekommen ist; vielleicht, weil die Passwörter mit einem unsicheren Verfahren gehasht waren; oder ich erfahre, dass die Datensammelfirma mit meinen Daten von einer größeren Datensammelfirma geschluckt wurde, die sich nicht mehr an die vereinbarten Bedingungen gebunden fühlt, weil sie in einem anderen rechtlichen Rahmen operiert, oder, oder oder.

Ich vertraue diesen Intermediären nicht. Es mag sein, dass "ebay Kleinanzeigen" (noch) nicht so hemmungslos Daten sammelt wie z.B. Paypal. Aber Zahlungsabläufe - was, wann, wie, an wen, unter welchen Bedingungen, in welchem Kontext - zählen mit zu den sensibelsten Bereichen der privaten Lebensführung, und diese Daten gehören meiner Ansicht nach nicht in die Hände von Fintechs - zumindest insoweit es meine Daten betrifft.

 

[MR6710]

Ich bestehe als Verkäufer grundsätzlich auf Barzahlung bei Abholung oder auf Überweisung auf mein Konto.
Wem das nicht gefällt darf gerne anderweitig kaufen.

 

[Pommbaer]

Bei Barzahlung kann es aber auch passieren, dass drei Typen vor der Tür stehen und nochmal nachverhandeln wollen. Selbst schon erlebt.
Da waren wir aber in der Wg zu viert und dann wurde es doch zum online vereinbarten Preis mitgenommen.
War auch anschließend kein Reifen platt oder Briefkasten abgerissen...

 

[MR6710]

Nun ja,vor der Tür stehen können bei mir zwanzig Mann,wenn sie wollen.
Ins Haus kommt nur eine Person,wenn er die Ware noch testen will.

 

[hafa]

Ich bin auch grad in Kontakt mit ebay KA, da irgend ein A...... bei meinem ebay KA Account die Mailadresse geändert hat.
Hatte dadrüber auch ne Mail bekommen, aber ich war nicht zu Hause und hab das erst abends gelesen
Da war es natürlich zu spät, das rückgängig zu machen..

Vielleicht dazu ein Zitat aus https://www.heise.de/news/Bits-Boes...-4-des-neuen-Tech-Crime-Podcasts-7364214.html

"...wie und wo man am besten Anzeige gegen Internet-Verbrecher erstattet und was danach mit dieser Anzeige passiert. Denn selbst wenn die Täter nicht gefasst werden, schützt man sich mit einer Anzeige selbst vor den Konsequenzen, sollten die eigenen Daten von den Angreifern missbraucht werden."

 

[RanHoeck]

Viele versuchen durch solches Verhalten wie im ersten Thread beschrieben auch einfach an gültige Paypal-Accounts heran zu kommen die man dann versuchen kann zu hacken.
Deswegen gebe ich z.B. bei Anfragen nach meinem Paypal Account auch nur noch den Paypal.me-link heraus. Ihr glaubt nicht von wie vielen "Interessenten" ich danach nichts mehr höre bzw. lese.

 

[Schwartz]

Geht das mit eK-Hacking wieder nur über unsichere Passwörter oder ist da tatsächlich was an der Technik faul?

 

[netghost78]

Deswegen gebe ich z.B. bei Anfragen nach meinem Paypal Account auch nur noch den Paypal.me-link heraus. Ihr glaubt nicht von wie vielen "Interessenten" ich danach nichts mehr höre bzw. lese.

Da sollte doch bei einer aktivierten 2-Faktor-Authentifizierung eher wenig Gefahr bestehen, oder?

 

[Schwarzmetaller]

Die 2FA bei Ebay-Kleinanzeigen ist leider nicht flächendeckend aktiv, sondern wird peu a peu erst eingeführt und man kann sie leider meines Wissens nach nicht händisch aktivieren.

 

[ksk_halo]

Hatte gestern auch mal wieder so ein Erlebnis.
Allerdings mit Sammlerware aus den 80er.
Account hatte mehrere Angebote und auch Bewertungen war schon 3 Jahre alt.
Preis so 50% unter Marktwert.
Lokal einen Abnehmer zu finden eher schwieriger, Bundesweit allerdings geht sowas schnell weg.
Nach Anschreiben, "Nehme ich, komme aus der Nähe" kam nur noch "DHL Versand oder Abholen"
"Abholen, Barzahlung, bitte um Terminvereinbarung"

Stunden später kam dann eine Systemmeldung mit Betrugswarnung von KA. Sie hatten E-Mail Kontakt, NutzerAccount wurde gesperrt ..."
Der Account wurde wohl gehackt, sah von Aussen her OK aus

 

[elarei]

Die Zahl der Leute mit überall gleichen Passwörtern ist hoch und die Leaks werden zahlreicher. Das dürfte eK vielleicht sogar stärker als andere spüren, weil das immer so als lokaler Nachbarschaftsdienst gesehen und daher nicht sicherheitsbewusst behandelt wurde. Ich hab da auch noch nie über 2FA nachgedacht, obwohl ich es fast überall verwende, wo es zu haben ist.

Ich habe vor einigen Jahren beim Dropbox-Leak auch mein Standardpasswort in der Liste gefunden. Damit war auch eK leichte Beute.

 

[Korfox]

Geht das mit eK-Hacking wieder nur über unsichere Passwörter oder ist da tatsächlich was an der Technik faul?

Das wird dir niemand rechtsverbindlich beantworten, aber es sind eigentlich immer unsichere Passwörter für eKA-Account und/oder verknüpfter E-Mail-Account.
Du kannst dir ja eine "Passwort-Vergessen"-Mail schicken lassen, dann brauchst du das PW von eKA nicht, sondern ur das für die Mail. Umgekehrt kannst du ggf. mit dem eKA-Account die Mail-Adresse ändern.
Unsicher ist obendrein Definitionssache. Mathematisch unsichere Passwörter sind eh betroffen aber oft immernoch besser, als Passwörter,die schon in irgendwelchen (siehe oben) PW-Datenbanken liegen. Du kannst das sicherste PW haben - wenn ein Anbieter es Mal im Klartext abgespeichert hat und seine PW-Datenbank geleakt ist ist das PW verbrannt (und das kommt nach wie vor vor).

Um Mal den ganzen negativen Erfahrungen etwas entgegen zu stellen:
Ich habe vor ein paar Wochen über eKA ein Haushaltsgerät zu ca. 35% des Marktwertes bzw. 50% des rabattierten (Corporate Benefit) Preises geschossen. Nagelneu noch im Versandkarton. Mit Versand und PP-Gebühren waren es immer noch ca. 50% des Straßenpreises.
Das Gerät gab es zu diesem Zeitpunkt eigentlich nur beim Hersteller im Shop zu erwerben, der Verkäufer hatte kein Problem mit PP ohne F&F.
Tatsächlich hatte ich sogar den Eindruck, dass er froh war das Gerät los zu sein (er war wirklich sehr entgegenkommend und zu dem Preis hätte er es sicher innerhalb der nächsten Wochen locker an andere los bekommen, die weniger Fragen stellen... ich vermute fast, dass das Ding heiß war).

 

[netghost78]

Die 2FA bei Ebay-Kleinanzeigen ist leider nicht flächendeckend aktiv

Ich meinte ja auch 2FA von PayPal. Genau darauf bezog ich mich ja auch in meinem Zitat.

 

[schoerg]

Geht das mit eK-Hacking wieder nur über unsichere Passwörter oder ist da tatsächlich was an der Technik faul?

Ersteres

 

[xxxx]

Du kannst dir ja eine "Passwort-Vergessen"-Mail schicken lassen, dann brauchst du das PW von eKA nicht, sondern ur das für die Mail.

Man sollte bei online-Diensten wie ebay Kleinanzeigen grundsätzlich nur ein Mail-Alias angeben (ein starkes Passwort ist natürlich unabdingbar). –> Falls aus irgendwelchen Gründen dann doch einmal ein "Datenreichtum" entsteht und die mit einem online-Konto verknüpften Mailadressen in dunkle Kanäle kommen, kann jemand, der dies ausnutzen will, mit einem Mail-Alias rein gar nichts anfangen (außer vielleicht spammen). Denn einloggen in den Mail-Account geht natürlich nur mit einer "richtigen" Adresse, nicht mit einem Mail-Alias. Und dieses kann dann unproblematisch gelöscht werden, ohne dass die Haupt-Mailadresse in Mitleidenschaft gezogen wird.

Wenn man diese Thematik ein bisschen aus der Distanz betrachtet:
Wieviele, welche, und ob überhaupt (verwertbare) Daten über einen anfallen, das kann jeder einerseits durch sein Verhalten ganz wesentlich beeinflussen - und zwar ohne große Komfort-Einbußen. Andererseits ist das natürlich auch eine Sache der (politischen) Rahmensetzung. Und da hat das Bundesverfassungsgericht in Karlsruhe festgestellt, dass das allgemeine Persönlichkeitsrecht (Art. 2 Abs.1 i.V.m. Art.1 Abs. 1GG) auch das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme umfasst (BVerfG, 1BvR 370/07). Das ist das Fundament der Möglichkeit, demokratische Strukturen zu haben (und zu verteidigen), und zugleich die Grundlage von Autonomie und Handlungsfreiheit.

Damit ist ein sorgsamer Umgang mit den eigenen Daten im weitesten Sinn sogar eine Entscheidung für demokratische Strukturen. Mir persönlich sind diese viel wert; ohne diese Grundlage kann keine meiner Entscheidungsoptionen wirklich unabhängig sein.

 

[matt-eagle]

Das mit dem Mail Aliassen, was @xxxx hier anspricht, funktioniert beispielweise mit Google-Mail ganz gut, indem man einfach ein "+Alias" an seine eigentliche Mail anfügt, also: Name+Alias@gmail.com (geht auch statt Plus mit einem Punkt)

Das kann man beliebig oft machen. Für jeden Dienst bzw. Registrierung kann man das gut verwenden und kann dadurch einiges an möglichen Schaden bei Leaks abwenden.

 

[netghost78]

Richtig, ich verwende die meisten Dienste nur mit einer Alias-Adresse. Das hat den Vorteil, daß man einen solchen einfach wegwerfen kann und sich einen neuen bauen. Weiterhin kann man gut nachvollziehen, wo das Leck war.

 

[ahoellrigl]

Das mit dem Mail Aliassen, was @xxxx hier anspricht, funktioniert beispielweise mit Google-Mail ganz gut, indem man einfach ein "+Alias" an seine eigentliche Mail anfügt, also: Name+Alias@gmail.com (geht auch statt Plus mit einem Punkt)

Allerdings ließe sich so aus dem Alias recht einfach die eigentliche Mailadresse ableiten. Für das von @xxxx beschriebene Vorgehen wäre das dann doch eher nachteilig, oder?

 

[xxxx]

Allerdings ließe sich so aus dem Alias recht einfach die eigentliche Mailadresse ableiten. Für das von @xxxx beschriebene Vorgehen wäre das dann doch eher nachteilig, oder?

Das sehe ich auch so.
Bei mailbox.org zum Beispiel (oder posteo.de, und einigen anderen privatheitsorientierten Anbietern) lassen sich frei wählbar Aliasse generieren nach dem Muster meinealiasadresse-irgendwaswasichwill@mailbox.org, teilweise sogar mit alternativen Endungen. Davon gibt es aber nicht beliebig viele (bzw. mehr kostet dann extra).
Desweiteren kann man (um im Beispiel zu bleiben) sich (ausreichend viele) temporäre Mail-Adressen nach dem Muster 3xctgPäü.temp.mailbox.org auswürfeln lassen; diese verfallen dann nach einer bestimmten Zeit (natürlich sollte man diese Adressen nicht bei online-Diensten nutzen, bei denen man auch nach der Verfallszeit noch erreichbar sein möchte ...).

Der Königsweg wäre natürlich, einen eigenen Mailserver aufzusetzen: dann lassen sich innerhalb des eigenen Adressraums beleibig viele Adressen generieren - die man nach Lust und Laune auch wieder verwerfen kann.
Aber einen gut abgedichteten Mailserver aufzusetzen (und zu betreiben), das ist wieder ein ganz anderes Thema ...

 

[schoerg]

Man sollte bei online-Diensten wie ebay Kleinanzeigen grundsätzlich nur ein Mail-Alias angeben (ein starkes Passwort ist natürlich unabdingbar). –> Falls aus irgendwelchen Gründen dann doch einmal ein "Datenreichtum" entsteht und die mit einem online-Konto verknüpften Mailadressen in dunkle Kanäle kommen, kann jemand, der dies ausnutzen will, mit einem Mail-Alias rein gar nichts anfangen (außer vielleicht spammen). Denn einloggen in den Mail-Account geht natürlich nur mit einer "richtigen" Adresse, nicht mit einem Mail-Alias. Und dieses kann dann unproblematisch gelöscht werden, ohne dass die Haupt-Mailadresse in Mitleidenschaft gezogen wird.

Das ist ein guter Rat, aber du weißt ja nicht ob dein Handelspartner das so auch macht.