Die deutsche Übersetzung von "Schneier on security" – einem Blog über Sicherheit und Sicherheitstechnologien.

Neuer eBay Betrug

Publiziert am 2009-03-08 von Michael

Hier ist ein raffinierter Angriff beschrieben, der relative Verzögerungen zwischen eBay, PayPal, and UPS Lieferungen ausnutzt:

Der Käufer meldet den Artikel als “zerstört” und fordert eine Rückbuchung von PayPal. Nachdem der Käufer es an Chad zurückgeschickt hat und er es öffnete, stellte sich heraus, dass nichts an der Sendung falsch war — außer, dass der Betrüger den Arbeitsspeicher, den Prozessor und die Festplatte entfernt hatte. Nun hat Chad 500 Dollar weniger und die Hülle eines Computers, und da der Artikel “angenommen” wurde, wird PayPal nichts unternehmen.

Sehr schlau. Der Verkäufer akzeptierte die Rücksendung von UPS nach einer visuellen Abnahme, also nimmt UPS den Fall als erledigt an. PayPal und eBay betrachten den Fall auch als geschlossen. Wenn der Betrag groß genug war, könnte der Verkäufer klagen, aber wir könnte er beweisen, dass der Computer funktionierte, als er ihn verkauft hat?

Es sieht für mich aus, dass die einzige Möglichkeit für PayPal dies zu lösen ist, die Erstattungszahlung nicht zu bearbeiten, bis der Verkäufer bestätigt, erhalten zu haben, was er verschickt hatte. Ja, dann könnte der Verkäufer einen ähnlichen Betrug begehen, aber Verkäufer (im Besonderen professionelle) haben ein größeres Risiko den Ruf zu verlieren.

Posted on March 6, 2009 at 1:30 PM @ schneier.com

Dieser Beitrag wurde unter Betrug, Schwachstellen, trade-off veröffentlicht. Setze ein Lesezeichen auf den Permalink.

Eine Antwort auf Neuer eBay Betrug

  1. Anonymous sagt:
    2009-08-02 um 13:02

    >Neue Variante zum Online-Betrug!!

    Leider gibt es schon wieder eine neue Variante –
    Inzwischen wird versucht, über “Bande zu spielen”:

    Schritt 1:
    Man besorge sich eine Free-Mail Adresse.
    Schritt 2:
    Man besorge sich damit ein PayPal Konto
    Schritt 3:
    Man registirere sich bei http://www.paper2mail.de und bezahle dort per PayPal (Bande)
    Schritt 4:
    Man registriere sich bei Packstation http://www.packstation.de und gebe als Adresse die Postverarbeitungsadresse bei paper2mail an und wartet auf die durch paper2mail digital übersandte Bestätigungspost der DHL mit Packstation Karte und PIN
    Schritt 5:
    Man ruft die PayPal Zahlung bei paper2mail unter dem Vorwand des Fremdzugriffs zurück
    Schritt 6:
    Man bestellt viele teuere Dinge oder Dienstleistungen im Internet, die man per PayPal bezahlt und sich an die Packstation Adresse zusenden läßt.
    Schritt 7:
    Man widerruft alle PayPal Zahlung unter dem Hinweis auf einen angeblich erfolgten fremden Zugriff auf das Konto.

    Dies funktioniert, wenn:
    1. DHL keine Identifikationsprüfung vornimmt
    2. PayPal bei dem Argument “fremder Zugriff auf das Konto” immer (!) das Geld vom Zahlungsempfänger zurückholt
    3. paper2mail keine Identifikationsprüfung vornimmt.

    Inzwischen scheint wenigstens paper2mail dazu übergegangen zu sein, bei jedem neuen Kunden eine Identifkationsprüfung (Vorlage Kopie Personal-Ausweis) vorzunehmen.

    Viele Grüße
    Thomas