Vorsicht vor neuer Kleinanzeigen Betrugsmasche
Strategien zur Identifizierung und Vermeidung von betrügerischen Anfragen
Auf der Plattform Kleinanzeigen (früher eBay Kleinanzeigen) lassen sich Alltagsgegenstände einfach kaufen und verkaufen. Heute hatte ich einen versuchten Betrugsfall und will nachfolgend aufzeigen, wie ich diesen aufgedeckt habe.
Die Anfrage
Direkt nach dem Einstellen eines neuen Artikels kam eine Nachricht in meinem Postfach an:
Ich hatte den Artikel auch mit der Option für Versand eingestellt und nutze von Kleinanzeigen die „Direkt kaufen“ Funktion, damit ich sicher bin, dass der Käufer bezahlt hat, bevor ich etwas verschicke. Alternativ kann man auch per PayPal oder Überweisung mit Vorkasse agieren, dann gibt man jedoch persönliche Daten wie die PayPal-Adresse oder IBAN heraus.
Das gefälschte Bild
Nach meiner Antwort, dass die Versandoptionen angezeigt werden, wenn auf die Kaufen-Schaltfläche geklickt wurde, kam eine verwirrende Antwort zurück.
Verwirrend deshalb, weil Kleinanzeigen keinen Grund hat, nach der E-Mail-Adresse des Händlers (also meiner) zu fragen. Schließlich kennt Kleinanzeigen meine Adresse.
Um sicherzugehen, dass Kleinanzeigen nicht etwas am Bezahlsystem geändert hat, habe ich versucht, bei einem Artikel eines anderen Händlers das Formular zu öffnen und genau wie ich es in Erinnerung habe, wird keine E-Mail abgefragt.
Nun klingeln also die Alarmglocken bei mir und ich sehe mir das gesendete Bild genauer an. Auf den ersten Blick wirkt es authentisch. Dass das Bild mit einem Bearbeitungsprogramm wie Photoshop gefälscht wurde, halte ich für unwahrscheinlich, da ich keinerlei Artefakte erkennen kann, die dabei normalerweise entstehen.
Es gibt aber noch andere Möglichkeiten, gefälschte Bilder zu erstellen. Eine Webseite anders aussehen zu lassen, geht mit jedem Webbrowser zusammen mit geringem Wissen über HTML (die Sprache, in der Webseiten geschrieben werden).
Mit weniger als fünf Minuten Aufwand kann ich das Formular genauso aussehen lassen wie im empfangenen Screenshot.
Die Phishing E-Mails
Nachdem mir nun klar ist, dass hier etwas nicht mit rechten Dingen zugeht, steht allerdings noch die Frage offen, wofür die Betrüger meine E-Mail-Adresse benötigen. Um das herauszufinden erstelle ich mit eine Wegwerf E-Mail-Adresse bei SimpleLogin (Firefox Relay würde aber genauso gut funktionieren).
Zur gleichen Zeit mit der Nachricht des Betrügers auf Kleinanzeigen kam eine E-Mail in meinem Postfach an. Diese sieht bei oberflächlicher Betrachtung echt aus, bei näherem Hinsehen fällt aber das gebrochene Deutsch ins Auge.
Außerdem lässt sich durch das Darüberfahren mit der Maus über den Link in der E-Mail das Ziel anzeigen, ohne dass man den Link anklicken muss. Der Link wird unten Links angezeigt. Hier ist zu sehen, dass man nicht auf eine kleinanzeigen.de Seite geschickt wird. Ich beschließe, den Link in einem per Sandboxing geschützten (virtuellen) Browser zu öffnen. Ein direktes Öffnen des Links halte ich für zu gefährlich, da alleine mit dem Besuchen einer Webseite schon Schadsoftware verteilt werden kann.
Es erwartet mich eine 1zu1 Kopie meiner Anzeigeseite, mit der Bitte, die Anfrage zu akzeptieren.
Auch hier ist zu sehen, dass die URL nicht auf kleinanzeigen.de zeigt, sondern auf kleinanzeigen-deutsch.cart-std200.de. Sowohl diese Domain als auch die Domains aus der E-Mail orgfh.de und conmedao.de habe ich forensisch untersucht. Allerdings ohne weitere nützliche Hinweise auf die Betrüger zu finden. Die Domains wurden bei den Registraren Namecheap und PublicDomainRegistry erworben und werden alle von einem großen Internetanbieter Cloudflare verwaltet.
Nach diesem kleinen Abstecher geht es nun aber weiter mit der gefälschten Webseite. Nach einem Klick auf Anfrage akzeptieren komme ich auf eine Seite, die von der Aufmachung an Stripe erinnert.
Hier soll vermutlich ein unbedachter Verkäufer dazu gebracht werden, seine Kreditkartendaten zu hinterlegen, um darauf das Geld zu empfangen. In Wahrheit würden die Betrüger sich vermutlich etwas von der Karte abbuchen oder die Kartendaten weiterverkaufen.
Schlussfolgerungen und Sicherheitstipps
An diesem Punkt habe ich den Kleinanzeigen Benutzer gemeldet und gesperrt. Auffällig an den Nachrichten war, dass der Betrüger den Artikel nie beim Namen nannte, sondern stets nur von „es“ sprach. Dies macht er vermutlich, da er viele Anfragen zu unterschiedlichen Artikeln verschickt. Außerdem war der Benutzer sehr neu bei Kleinanzeigen mit dem Anmeldedatum von gestern Abend.
Abschließend lässt sich sagen, dass die Richtlinie von Kleinanzeigen niemand private Daten wie E-Mail-Adresse, Telefonnummer oder Bankverbindung herauszugeben, sinnvoll ist und man sehr wachsam sein sollte, wenn ein Interessent private Daten haben will.