In den letzten beiden Tagen erhielt ich Nachrichten von eBay Händlern die mir berichteten, dass ihre Bankdaten in Ihrem eBay-Account ausgetauscht worden sind. Das bedeutet, von Kunden eingehende Zahlungen werden auf ein fremdes Konto überwiesen. Händler erhalten die Bezahlung nicht. Käuferkunden beschweren sich, dass sie Ihre Ware nicht erhalten. Ebay reagiert nicht einheitlich.

Was ist passiert? Offensichtlich werden eBay Konten von Händlern dahingehend verändert, dass in den Zahldaten eine andere Bankverbindung eingetragen wird. Bei allen mir gemeldeten Fällen wurde eine rumänische Bankverbindung hinterlegt.

Käuferkunden erhalten nun in der eBay-Kaufabwicklung die Aufforderung auf diese falsche Bankverbindung Zahlung zu leisten. Natürlich überweisen sie auch auf die falsche angezeigte Bankverbindung. Nachdem beim Händler keine Zahlung ankommt und er keine Ware versendet beschweren sich dann zurecht die Käufer, dass sie keine Ware erhalten. Erst durch die Händler-Kunden Kommunikation fällt auf, dass die Käufer auf eine falsche Bankverbindung überwiesen haben.

Betroffene Händler berichten, dass sie keine Nachricht, wie sonst üblich [UPDATE: eBay teilte mir nun mit, dass in der Vergangenheit diese Benachrichtigungen sporadisch versendet worden sind. Sie sind daher kein Indiz], über die Änderung der Bankdaten erhalten haben. Bei Rückänderung der Bankdaten wird diese Meldung jedoch vom eBay System versendet. [UPDATE: eBay teilte mir mit, bereits im September, nach Eskalation der Herausforderung, regiert zu haben. Seitdem werden IMMER Benachrichtigungen bei Änderung der Konto Daten versendet.] Alle Händler bestätigten, dass sie auf keine Phishing Mail reingefallen sein können.

Der Schilderung des Sachverhaltes liegt die Vermutung nahe, dass es einen Hackerangriff auf eBay selber gegeben hat. Denn nur so lässt sich erklären, dass bei der Änderung der Konto Daten zunächst keine Meldung an den Verkäufer gesendet worden ist. [UPDATE: Meine Schlussfolgerung ist falsch. Ebay versicherte mir sehr glaubhaft, dass ihre Systeme zu keinem Zeitpunkt gefährdet waren. Das ist nachvollziehbar, denn meine Vermutung fußte im Wesentlichen auf die fehlenden Benachrichtigungsmail. Dieses ist jedoch oben bereits erklärt.]

Der eBay Kundenservice reagiert uneinheitlich. In den meisten Fällen wird die Schuld auf den Händler abgewälzt. In einem Fall liegt mir aber eine schriftliche Bestätigung vor, dass sie die Kosten übernehmen und Mängel löschen:

„Guten Tag XXXXXXXX (shop@xxxxxxx.com),

wir schreiben Ihnen, da Ihren Käufern im September aufgrund eines Problems in der Kaufabwicklung teilweise inkorrekte Bankdaten angezeigt wurden.

Wir möchten diese Situation für Sie und Ihre Käufer schnell und unkompliziert lösen. Wir werden allen betroffenen Käufern einen Gutschein in Höhe des Kaufbetrages inklusive der Versandkosten zusenden. Alle Käufer werden von uns schriftlich darüber informiert.

Ihre Käufer haben wir ebenfalls gebeten, sich wegen der Bezahlung der Artikel mit Ihnen in Verbindung zu setzen. Falls Ihre Käufer keine weitere Lieferung des Artikels wünschen, empfehlen wir Ihnen, den Kauf abzubrechen, um eine Gutschrift der Verkaufsprovision zu erhalten.

Wir versichern Ihnen, dass wir Sie und Ihren Verkäuferstatus vor allen Mängeln und Bewertungen schützen werden, die möglicherweise in diesem Zusammenhang entstehen.

Für die entstandenen Unannehmlichkeiten entschuldigen wir uns.

Ihre Zufriedenheit liegt uns am Herzen. Wenn wir Ihr Anliegen nicht zufriedenstellend klären konnten, steht Ihnen unser Kundenservice gern zur Verfügung: https://ocsnext.ebay.de/ocs/home

Mit freundlichen Grüßen,
Ihr eBay-Kundenservice“

Offensichtlich ist bei eBay dieses Problem bereits seit September bekannt. Meldungen oder Warnhinweise hat es bislang nicht gegeben. Da mir auch ganz aktuelle Vorkommnisse berichtet worden sind, gehe ich davon aus, dass die Herausforderung noch immer besteht.

Gerade jetzt in der Weihnachtszeit ist ein solches Sicherheitsproblem ein Fiasko. Zumal wenn es, wie ich vermute, ein internes eBay Problem ist. [UPDATE: Ein internes Sicherheitsproblem ist laut eBay und auch meiner Meinung nach ausgeschlossen]

Mittlerweile liegt mir nun die Stellungnahme von eBay vor. EBay geht davon aus, dass die Händler Opfer von Phishing Attacken geworden sind:

„Es ist unser erklärtes Ziel, unseren Millionen von Kunden auf der ganzen Welt einen sicheren und zuverlässigen Marktplatz zu bieten. In der großen Mehrheit der Fälle ist es uns durch den Einsatz von hochentwickelten Sicherheitstechnologien und Risikomanagement-Systemen möglich, die missbräuchliche Nutzung eines eBay-Mitgliedskontos zu erkennen und Gegenmaßnahmen einzuleiten, bevor ein Schaden entstanden ist.

Leider ist unter Kriminellen nach wie vor die Praxis weit verbreitet, bekannte Marken für böswillige Aktivitäten wie zum Beispiel Phishing zu missbrauchen.

eBay ist seit vielen Jahren in der Bekämpfung von Phishing und der Verbraucheraufklärung zu diesem Thema aktiv. Auf dem eBay Sicherheitsportal finden die Nutzer eine Vielzahl von Informationen, wie sie Phishing-Versuche erkennen und sich vor diesen schützen können: https://pages.ebay.de/safetycenter/help.html.

Wenn ein Nutzer glaubt, Opfer der missbräuchlichen Nutzung seines eBay-Mitgliedskontos geworden zu sein, sollte er oder sie dies eBay umgehend mitteilen. Wir können den Nutzer dann dabei unterstützen, die Kontrolle über das Konto wiederzuerlangen und weitere Sicherheitsmaßnahmen durchführen.

In den vergangenen Wochen haben wir festgestellt, dass bei der missbräuchlichen Nutzung von Konten vermehrt die Bankdaten geändert werden, mit dem Ziel, dass Überweisungen nicht mehr auf das Konto des eigentlichen Verkäufers erfolgen. Vor diesem Hintergrund haben wir unsere Maßnahmen zur Betrugserkennung und -vorbeugung in diesem Bereich angepasst und verstärkt. Eine auch nach außen sichtbare Schutzmaßnahmen ist beispielsweise, dass Mitglieder umgehend automatisch per E-Mail informiert werden, wenn die Bankdaten in ihrem Konto geändert werden. Das erlaubt uns in Zusammenarbeit mit unseren Mitgliedern, solche Missbräuche so schnell wie möglich zu erkennen und Gegenmaßnahmen zu ergreifen. Ebenso arbeiten wir eng mit den Strafverfolgungsbehörden zusammen, um entsprechende Fälle zu verfolgen und bei der Ermittlung der Täter so gut es geht zu unterstützen. “

Ich empfehle jedem betroffenen Händler sich PER MAIL an eBay zu wenden. Callcenter Anrufe führen i.d.R. selten zu qualifizierten und hilfreichen Antworten und Hilfestellungen. Käuferkunden sollten darauf achten, dass bei deutschen Händlern i.d.R. die IBAN mit DE xx beginnt. Im Zweifel sollten sie den Verkäufer über das eBay System kontaktieren.

Rechtsanwalt Johannes Richard von Internetrecht-Rostock.de wies mich darauf hin, dass der Käuferkunde sich zunächst an den Händler zu wenden hat. Dieser kann jedoch ggf. eBay in Anspruch nehmen.

Betroffene Händler diskutieren hierrüber in der Wortfilter-Facebook Gruppe.

[UPDATE: Da es nunmehr klar zu sein scheint, dass die aktuelle Herausforderung auch im Verantwortungsbereich der Händler liegt empfehle ich jedem Händler seinen Rechner und sein IT-Netz zu überprüfen. Phishing-Attacken können nicht nur per Mail passieren. Auch Schadsoftware kann auf dem Rechner installiert sein. eBay versicherte mit, dass aktuell bei jeder Bankkonten-Änderung eine Benachrichtigungsmail an das eBay Mitglied versendet wird.]