Identitätsdiebstahl bei eBay

So, der Betrüger, der meinte mit Andreas Identität auf eBay verkaufen zu müssen ist inzwischen, seit etwa 18 Uhr am Dienstag, gesperrt. Es wäre vielleicht schneller gegangen, wenn nicht auch noch genau zwei Sachen zusammen gekommen wären: Schlechtes Timing und ein technisches Problem. Heute früh hatte jemand von eBay versucht mich telefonisch zu erreichen – dummerweise während ich mit einem Kunden des Betrügers telefonierte und mit unterdrückter Rufnummer. Heute Abend – nach einer Software-Wiederherstellung wegen WLAN-Problemen – kam dann das iPhone endlich mal auf die Idee mir mitzuteilen, dass da eine Nachricht in der Mailbox wartet. Ihr dürft mich zitieren: Drecks-iPhone! Die Visual Voicemail ist ja ganz prima so lange sie funktioniert, aber…

Warum uns die ganze Sache aber so genervt hat? Nun, es geht nicht nur um mögliche Abmahnungen, die Andrea bekommen könnte. Da die Aufnäher teilweise Markenlogos ohne Lizenz verwenden, hätte sich unter Umständen noch der Zoll für die Dinger interessiert – die Bestellungen wurden ja aus Thailand verschickt. Und dann sind da noch die Steuerfahnder, die ja durchaus auch im Internet unterwegs sind und sich dort ein wenig umschauen. Und wer hat schon besondere Lust in den Verdacht der (Umsatz-)Steuerhinterziehung zu kommen? Wir nicht, auf Anraten unseres Steuerberaters hat Andrea die Sache also auch dem Finanzamt gemeldet. Insgesamt kommt da eine Menge Zeit und Geld zusammen, die uns die ganze Sache gekostet hat.

Und das nur, weil es bei der Anmeldung bei eBay auch bei gewerblichen Verkäufern keine zwingende Identitätsprüfung gibt. Die Hotline behauptet natürlich etwas anderes, aber es ist nun mal eine Tatsache, dass eine Überprüfung bei der Schufa, ob die angegebenen Daten korrekt sind nichts mit einer Prüfung zu tun hat, ob derjenige der diese Daten verwendet auch derjenige ist, der er vorgibt zu sein. ebay: Geprüftes MitgliedImmerhin gibt es die freiwillige Option, auf eigene Kosten die Identität per PostIdent-Verfahren bestätigen zu lassen.  Solche Mitglieder heissen dann “geprüftes Mitglied”, erkennbar an einem kleinen Icon.

Warum ist diese Überprüfung für gewerbliche Verkäufer keine Pflicht? Immerhin sind bei einem gewerblichen Verkäufer die Personendaten in den “Rechtlichen Informationen” öffentlich sichtbar, d.h. wenn hier falsche Angaben bei der Anmeldung gemacht werden, ist der eigentliche Eigentümer dieser Identität schnell der Sündenbock für alles, was dieser Händler so treibt: Egal ob man Abmahnungen oder Besuch von der Steuerfahndung bekommt, es ist sicher kein Spaß. Immerhin will eBay ja ein Marktplatz sein und als solcher ist man doch eigentlich darauf aus, dass die potentiellen Kunden diesem Marktplatz und den Anbietern dort ein gewisses Maß an Vertrauen entgegen bringen. Natürlich kann und darf eBay nicht für alles verantwortlich gemacht werden, was die Mitglieder dort machen – aber eine zwingende Identitätsprüfung gewerblicher Anbieter halte ich nun nicht für einen komplett abwegigen Gedanken. Sonst sind ja auch die “Rechtlichen Informationen” bei jedem Angebot – die ja wohl eine Art Impressum darstellen sollen – doch nicht ganz so wertvoll für die potentiellen Kunden, wie sie es wohl sein sollten.

Immerhin hat eBay da ja u.a. zusammen mit der Polizei diese Kampagne “Online Kaufen – mit Verstand!” laufen, die Käufer darüber informieren soll, wie man möglichst sicher im Netz einkauft. Und mit Sicherheit nimmt man einen gewissen “Ah, die arbeiten da mit der Polizei zusammen, also muss eBay doch sicher sein“-Effekt bei einigen Leuten  gerne mit. Ein paar mehr Prüfungen bei den Anmeldungen wären dagegen eine echt praktische Maßnahme für mehr Sicherheit.

Warum zum Beispiel erhält ein registriertes eBay-Mitglied keine Mitteilung, wenn mit den eigenen Daten ein zweiter Account eröffnet wird? Wäre dem so, hätte Andrea eine Mitteilung über die Registrierung des Accounts von “ammazine” bekommen und hätte sofort eBay informieren können, dass es sich hier um einen Betrüger handelt. In solchen Fällen könnte eBay ja beide Accounts temporär sperren bis sich einer der beiden Account-Inhaber über das PostIdent-Verfahren identifiziert hat (falls nicht sowieso schon einer der beiden verifiziert ist).

Und warum gibt es speziell für solche Betrugsfälle keine kostenlose oder zumindest im regulären Festnetz erreichbare Hotline, die dann auch sofort reagiert? Die reguläre eBay-Hotline ist ja nun alles, aber nicht günstig und in Sachen Kompetenz habe ich da auch gewisse Zweifel. Nicht nur, dass wir tatsächlich gefragt wurden, ob wir uns denn sicher wären, dass das nicht doch Andreas Account sei, wir haben auch verschiedene, sich widersprechende Informationen darüber bekommen, wie der Fall zu melden sei: die eine schickt uns zum Kontaktformular auf ebay.de, die nächste sagt, es gäbe dort gar kein Formular für die Meldung von Betrugsfällen und dann heisst es wieder am Ende müsste man dieses Mail-Formular ausdrucken und faxen.

Und machen wir uns doch nichts vor: Die notwendigen Daten für den Identitätsdiebstahl hat man schnell beisammen. Einfach mal ein paar deutsche Weblogs durchgehen, die ja fast alle ein Impressum haben. Dann braucht man nur noch das Geburtsdatum, das bekommt man meist über eine Suche im Weblog schnell raus und muss nur noch beim Datum eines “Happy Birthday zum 30sten“-Kommentars die entsprechenden Jahre abziehen. Bei ein paar Bloggern, deren Geburtsdatum ich sicher kenne hatte ich das mal probiert: klappt. Und wenn nicht direkt im Weblog, dann zum Beispiel bei Facebook, da reicht es normalerweise der “Freund eines Freundes des Bloggers” zu sein, um das Geburtsdatum zu sehen. Klar, da sind die Blogger und die Nutzer solcher Netzwerke natürlich selber schuld, warum schreiben sie auch ins Internet… (bitte den letzten Satz in einem sarkastischen Tonfall lesen, danke).

Und nun noch ein paar Tipps:

  1. Such hin und wieder mal bei Google (oder einer anderen Suchmaschine Deiner Wahl) nach dem eigenen Namen, ggf. ergänzt um “site:ebay.de” (oder einer anderen Domain, die Du gezielt durchsuchen möchtest).
  2. Solltest Du jemanden finden, der Deine Identität nutzt, dann melde diesen sofort der entsprechenden Plattform bzw. dem Provider und erstatte umgehend Strafanzeige.
  3. Ob es ggf. sinnvoll ist, auch dem Finanzamt oder dem Zoll die Sache zu melden, hängt natürlich vom Einzelfall ab, aber auf jeden Fall daran denken und es prüfen!
  4. Dokumentiere so viel wie möglich: Screenshots, Gesprächsnotizen, Faxprotokolle – alles im Zusammenhang mit so einem Fall kann wichtig werden. Und was ich selber auch gerne vergesse: notiere Dir bei gesprächen mit Hotlines die Namen Deiner Gesprächspartner.

9 Comments

Also ich mußte damals bei meiner Ebay Anmeldung einen Bestätigungscode den ich per Post erhalten habe eingeben um den Account zu aktivieren. War zwar kein PostIdent Verfahren mit Ausweis usw. aber immerhin ein einfache Prüfung. Wie es sich nun verhält wenn ich die Adresse im Profil ändern würde weiß ich nicht …..

Meine Anmeldung bei eBay ist so lange her… Keine Ahnung, ob das damals so war. Tatsache ist: aktuell ist es offensichtlich nicht so, sonst hätte Andrea ja Post bekommen. Aber wenn so eine (zwar einfache, aber immerhin ein) Prüfung mal durchgeführt wurde, dann frage ich mich, warum das wieder abgeschafft wurde? Konnte man den Verkäufern nicht zumuten nicht sofort handeln zu können, sondern 2-3 Tage auf Post warten zu müssen?

Je mehr ich darüber nachdenke desto mehr fällt mir ein das es damals weniger um die Postanschrift ging sondern auch irgendwie darum anhand der (Freemail) Emailadresse die Identität zu prüfen. Hat man also eine Addy bei einen Provider der selbst die Post Adresse kontrolliert (T-Online, AOL, etc.) wäre die Anmeldung evtl ohne Prüfung gegangen. Mein Freemail Konto mußt ich zwar damals auch per Post erhaltenen Code freischalten, aber egal 😉

Glaub ein Kumpel konnte sich damals mit der Addy die er von seinen Arbeitgeber bekam ebenfalls direkt anmelden. Aber warum? Wegen den Daten bei Denic? Würde ich mir im Falle von mehreren 100 Angestellten etwas kompliziert vorstellen. Aber das würde erklären warum Du anscheinend auch kein Brief bekommen hast.

Diese Prüfung scheint es dann aber auch nicht mehr zu geben – oder gilt Google Mail nicht als Freemail-Account? 😉
Und das mit der Unterscheidung Freemail-Adresse vs. irgendeine andere Domain habe ich eh noch nie verstanden, als könnte in Anbieter alle noch so kleinen Freemail-Anbieter kennen (von den “hey, ich habe eine Domain und stelle ‘nem Kumpel eine Mailadresse zur Verfügung”-Freemailern mal ganz abgesehen)…

2 Möglichkeiten:
entweder die einsehbare Mailadresse kann von der die man zur Anmeldung braucht und an der auch die Rechnung usw kommt abweichen oder man kann sie nach erfolgreicher Anmeldund in eine Freemail Adresse ändern ….. Letztes würde aber wenig Sinn machen …

Also ich hab mich bei eBay selbst nie angemeldet – damals hießen sie noch Alando. 😉
Aber ich kann mich erinnern, damals wurde so ein Zirkus gemacht – ich hab auch Post gekriegt (Adreßänderung später war übrigens kein Problem ;-)). Gleiches bei der Anmeldung bei web.de. Bei SPON durfte ich mich mir web.de-Adresse nicht anmelden zum Artikel kommentieren.
Heut ist das alles anders, da haben die wohl eingesehen, daß nur die großen Freemail-Anbieter (web.de, gmx, hotmail und yahoo waren das glaub ich) auszuschließen eher albernes Mobbing ist und Spam und Herumgetrolle so jedenfalls nicht verhindert wird…

Aber freut mich zu lesen, daß es scheinbar ein glimpfliches Ende gegeben zu haben scheint! 🙂
Haben die rausfinden können, was für’n Kasperkopp das war?

Keine Ahnung, ob die da schon was raus gefunden haben – im Zweifelsfall sitzt der Typ wirklich in Thailand… Wir machen uns da nicht wirklich große Hoffnungen, dass die den bekommen…

Telefonbücher sind schlimmer als Facebook! | Dobschat

[…] ist also gefährlich? Ich finde Telefonbücher gefährlicher: Erst nutzt ein Betrüger die Daten aus einem Telefonbucheintrag, um über eBay Leute zu bescheissen und jetzt werden diese Daten aus jenem Telefonbucheintrag […]