Mein eBay Kleinanzeigen wurde übernommen. Wie habe ich es bemerkt und was kann ich tun damit das in Zukunft nicht mehr passiert?
Heute Vormittag musste ich feststellen, dass ein alter eBay Kleinanzeigen-Account von mir gehackt wurde. Daher folgt eine umfangreiche Beschreibung des Vorfalls und mögliche Lösungsansätze, um so etwas in Zukunft zu verhindern.
E-Mail von eBay Kleinanzeigen: Anzeige „Dyson Airwrap Haarstyler“ veröffentlicht
Im morgendlichen Stress erhielt ich eine E-Mail von eBay Kleinanzeigen, dass ich eine neue Anzeige veröffentlicht hätte. Diese Mail hatte ich zunächst als Phishingversuch abgetan, da in meinem primären Kleinanzeigen-Account keine solche Anzeige vorhanden war.
Da ich unterwegs war, die Kinder in die Kita zu bringen, machte ich mir zunächst keine weiteren Gedanken, da es Wichtigeres zu tun gab. Erst später machte mich eine weitere Mail aufmerksam. Scheinbar wollte ein Betrüger den Hacker meines Accounts übers Ohr hauen.
Erster Verdacht – eBay Kleinanzeigen-Account gehackt?
Da ich wieder daheim war, schaute ich mir die Mail genauer an und stellte fest, dass sie nicht von meinem primären Account kam, sondern von einem alten, den ich eigentlich nicht mehr benutzte. Als ich mich dort einloggte, wunderte ich mich über die oben angesprochene Anzeige zum Dyson Airwrap. In diesem Moment poppte auch gleich eine Anfrage eines Nutzers für diesen Artikel auf, inklusive Antwort von meinem Account (Und das in einwandfreiem Deutsch!). Als ich den vermeintlichen Interessenten warnen wollte, waren die Nachrichten auch gleich schon gelöscht. Daher konnte ich diesen leider nicht mehr warnen.
Mir war damit klar, der Account wurde übernommen. Daher habe ich die Anzeige umgehend gelöscht und mein Kennwort zu diesem Account geändert. Was mich aber wunderte war, warum ich denn keine E-Mail-Benachrichtigung über die neue Nachricht des anderen Nutzers erhalten hatte. Nach kurzer Recherche stellte sich heraus, dass eBay Kleinanzeigen die Möglichkeit bietet, die Benachrichtigung, warum auch immer, abzustellen. Genau das hatte der Angreifer getan.
Anschließend hatte ich die Sorge, dass noch mehr Nutzer auf die Anzeige hereingefallen sein könnten. Leider gibt es keine Möglichkeit nachzuvollziehen, mit wem der Angreifer Kontakt hatte. Daher meldete ich den Fremdzugriff auf meinen Account (Auch Account-Takeover genannt) über ein Kontaktformular. Befremdlich war die Nachricht, dass die Bearbeitung 3-4 Tage dauern sollte. Nach immerhin „nur“ 4 Stunden erhielt ich eine Antwort. Mit dem Hinweis, dass mein Account nun blockiert sei und alle Nutzer darüber einen Warnhinweis erhalten hätten. Auch habe ich eine Mail erhalten, dass mein Kennwort nun geändert worden sei (inklusive neuem Kennwort).
eBay Kleinanzeigen: Schlechter Schutz und schlechte Nachvollziehbarkeit
Nach dieser Erfahrung wundert es mich kaum, wieso der Betrug auf dieser Plattform so beliebt ist. Es gibt zwar ein Bewertungssystem, welches aber wegen der schlecht geschützten Accounts kaum zu gebrauchen ist.
Persönlich sehe ich dabei folgende Probleme:
- Keine Zwei-Faktor-Authentifizierung
- Kein temporärer Papierkorb
- Löschen von Nachrichten ohne E-Mail Benachrichtigung möglich
- Abschaltbare Mailbenachrichtigung (ohne E-Mail Benachrichtigung)
- Keine Warnmail über einen neuen unbekannten Login
Alle diese Punkte hätten in meinem Fall dazu beigetragen, den Angriff entweder komplett zu verhindern oder zumindest dafür gesorgt, dass alles besser nachvollziehbar gewesen wäre. Ich bin gespannt, ob innerhalb der nächsten Wochen Nachrichten von geprellten Nutzern eintrudeln oder doch niemand darauf hereingefallen ist.
Nachsorge und Vorsorge
Ursache war eine wiederverwendete E-Mail- und Passwortkombination von einer in der Vergangenheit gehackten Webseite, von der Hacker ein schwach gesichertes Passwort von mir erbeuten konnten. Diese Kombination wurde jetzt dazu missbraucht, um sich unrechtmäßig Zugriff auf meinen eBay Kleinanzeigen-Account zu verschaffen.
Mit dem Online-Tool ‚;–have i been pwned? kann man sehr leicht überprüfen, ob die eigene Mailadresse in der Vergangenheit schon einmal in einer öffentlich verfügbaren Liste aufgetaucht ist. Dies sah bei mir wie folgt aus:
Wichtig ist es immer, nach so einem Vorfall sein Kennwort beim betroffenen Dienst und auch bei allen anderen Diensten, die dasselbe Kennwort verwenden, zu ändern. Auch, wenn der Account vielleicht nicht mehr in Gebrauch ist. Andere könnten die Reputation des Accounts nämlich dann sehr leicht missbrauchen und anderen Nutzern schaden.
Sollte man sich sicher sein, dass man ein eindeutiges Kennwort verwendet hat, muss man davon ausgehen, dass sich jemand entweder ohne das Kennwort Zugang verschafft hat (zum Beispiel durch eine Sicherheitslücke) oder einer der verwendeten Computer mit Schadsoftware infiziert war. Gegebenenfalls ist es ratsam, den betroffenen Rechner auf Schadsoftware zu untersuchen und neu zu installieren.
Goldene Regeln für Accounts und Kennwörter
Verwende niemals das gleiche Kennwort auf mehreren Webseiten
Erbeutet ein Angreifer dieses Kennwort, landet es auf Dauer in einer Passwortliste. Wird dabei noch der gleiche Benutzername beziehungsweise dieselbe E-Mail verwendet, kann anschließend die Kombination an anderer Stelle ausprobiert werden. Daher verwende für jeden Dienst ein eigenes Kennwort!
Um sich die Kennwörter nicht merken zu müssen, kann man einen Passwortmanager wie KeePass oder Bitwarden verwenden.
Verwende eine Zwei-Faktor-Authentifizierung (soweit möglich)
Konnte ein Angreifer dein Kennwort erbeuten, hat er in der Regel leichtes Spiel. Manchmal erschweren automatische Sicherheitsmechanismen den Missbrauch, da sie ungewöhnliches Verhalten von Nutzern automatisch erkennen oder der Nutzer von einem unüblichen Gerät zugreift.
Um sicherzustellen, dass auch mit Kennwort niemand einfach auf einen Account zugreifen kann, sollte daher die sogenannte Zwei-Faktor-Authentifizierung verwendet werden, wenn diese vom Dienst angeboten wird. In der Regel wird dabei ein zweites Kennwort abgefragt, was dynamisch generiert wird. Früher war das schon beim Online-Banking üblich, nur dass der Nutzer eine Liste mit festen TANs erhalten hat. Heutzutage ist der Ansatz etwas moderner und sicherer. Dabei wird dann zum Beispiel per SMS ein zusätzliches Kennwort an den Nutzer verschickt. Alternativ muss der Nutzer ein dynamisches, zeitabhängig generiertes Kennwort (TOTP) eingeben. In der Regel verfügt ein Angreifer nicht über diese weitere notwendige Information.
Verwende für jeden Account eine eigene E-Mail / einen eigenen Benutzernamen
Wenn du die Möglichkeit hast, für jeden Account einen eigenes E-Mail Postfach anzulegen, ist das auch empfehlenswert. Dies bietet dir zwei Vorteile: Ein geleaktes Kennwort ist ohne den Benutzernamen bzw. E-Mail-Adresse nichts wert. Würde bei dir Spam über dieses Postfach eintrudeln, wäre ein Leak bei genau diesem einen Anbieter wahrscheinlich.
Bei Google Mail hast du die Möglichkeit, deine E-Mail-Adresse um weitere Zeichen zu erweitern. Dazu musst du nur ein + vor das @ setzen und du kannst dort beliebige Buchstaben und Zahlen einfügen. Die E-Mails kommen trotzdem an. Beispielweise wird aus honeybee@gmail.com einfach honeybee+02-09-21-ebkl@gmail.com.
Nachwort
Ich hoffe, euch hat der etwas andere Artikel gefallen. Die Idee einen Artikel zu schreiben ist ganz spontan aus dem oben genannten Vorfall entstanden. Vielleicht habt ihr schon etwas Ähnliches erlebt? Vielleicht mit nicht ganz so glücklichem Ende? Teilt es doch in einem Kommentar!
So, das war’s für heute. Immer Augen auf im Internet! Der nächste Fraudster wartet schon!