Wochenrückblick – Betrüger-Shops auf Amazon?

Ich bekomme schon beim Gedanken Platzprobleme in der Hose. Wie geil ist das denn. Da Titelt die c‘t aus dem Heise-Verlag „Betrüger-Shops auf Amazon“. Ist das jetzt investigativer Journalismus oder der Versuch das Springer Schundblatt Bild Zeitung zu immitieren. Was steckt nun wirklich dahinter? Was der Heise-Verlag nicht wirklich auf die Reihe gekriegt hat, versuche ich hier mal mit einem anständigen Hintergrundbericht.

dscn40241024x683

Ausgangslage

Schon seit Monaten ist bei selbsternannten „Internetmarketing Gurus“, eher Vollpfosten mit dem geistigen Horizont einer Amöbe, Fullfillment by Amazon sehr beliebt, um ihre zweifelhaften Infoprodukte an den Mann oder die Frau zu bringen. Einer dieser zwielichtigen Figuren ist Flo Marco. In diesem Dunstkreis fahren zur Zeit eine ganze Reihe von Typen die gleiche Masche ab.

Natürlich gibt es hier genügend Vollidioten die in der Hoffnung auf den schnellen Euro auf die Versprechungen von Typen wie Flo Marco hereinfallen und tatsächlich auch damit beginnen sich einen Online-Handel aufzubauen. Zum Teil mit gefälschten EAN-Nummern, zusammen geklauten AGBs und Widerrufsbelehrungen und keiner Ahnung was Sie da so überhaupt treiben. Was dann unterm Strich dabei herauskommt, kann man schön in den entsprechenden Facebook-Gruppen nachlesen.

Unser junger, dynamischer und noch erfolgloser neuer Online-Händler hat es auch nicht besonders schwer, im Amazon Seller Central einen entsprechenden Account einzurichten. Damit er auch gleich richtig loslegen kann, braucht er nur noch die Gewerbeanmeldung und die Telefonrechnungen der letzten drei Monate an Amazon zu übermitteln und schon kann er loslegen. Damit er es noch besonders einfach hat, gibt es die JTL Wawi mit eazyAuktion. Damit lassen sich fast völlig automatisch die Amazon Transaktionen abwickeln. Ob nun neue Angebote zu Amazon hochladen, Rechnungen für Kunden oder Retouren bearbeiten. Damit wird alles für den Dummy zum Kinderspiel – und ein freundlicher Servicepartner findet sich auch, der ihm das ganze für einen Apfel und ein Ei auch noch einrichtet.

Und dann gibt es da noch in Rumänien die Stadt Râmnicu Vâlcea, in Fachkreisen auch als Hackerville bekannt. Dort gibt es ein paar Typen, die nur darauf warten, dass ein paar Vollpfosten bei Amazon neue Händlerkonten eröffnen, um diese dann direkt zu übernehmen und für Ihre Zwecke zu missbrauchen. Ob das Flo Marco und Konsorten in Ihren Vorträgen erwähnen, wage ich direkt zu bezweifeln.

Ob die Jungs ausschließlich über gut gemachte Phishing-Mails an die Zugangsdaten von Händlern des Amazon-Marktplatzes gelangen, darüber bin ich mir gerade nicht so sicher. In jedem Fall liegen mir Informationen vor, das es auch über SQL-Injektion möglich sein soll, einen Amazon Seller Central Account zu entern. Das wiederum würde bedeuten, dass es dort eine Sicherheitslücke gab oder noch gibt. In jedem Fall ist meine Quelle so vertrauenswürdig, dass ich nicht glaube, das er mir hier einen Bären aufgebunden zu haben. Aber wie die Jungs an die Zugangsdaten herankommen, ist ja auch zweitrangig.

Ich fasse zusammen: Wir haben einen angeblichen Marketing Guru, der mit seinem zugegeben gut aufbereiteten Müll Dummys dazu bringt, Online-Händler zu werden, die dann wiederum von Rumänischen Hacker-Banden gnadenlos abgezockt werden. Und natürlich haben wir ahnungslose Kunden auf der Schnäppchenjagd, die von alledem nichts wissen – außer sie haben zufällig auf Bild-Online davon gelesen, das es auch mal einen großen Shop erwischt hat.

Die Fragen die mich hier interessieren sind ganz andere. Haben oder hatten wir eine Sicherheitslücke im Amazon Seller Central. Haben die Rumänischen Hacker einen Weg gefunden, anhand von schon zugänglichen Informationen Amazon Seller Central Account zu übernehmen und für Ihre Zwecke zu missbrauchen. Gibt es einen Zusammenhang zwischen den 3 Milliarden Email-Adressen und Passwörtern, die gerade für jeden im Internet für ein paar Euro einsehbar sind? Welche Rolle spielen Browser-Add-ons in diesem ganz speziellen Fall? Letzteres würde die Arbeit der Rumänischen Hackerbanden deutlich erleichtern. Und zum Schluss, wie ernst nimmt der deutsche Online-Handel das Thema Sicherheit?

Schaue ich mir die Online-Händler an, die ich kenne, dann muss ich mal feststellen, dass das Thema Sicherheit völlig unterbelichtet wird – wobei ich das wohl noch human ausgedrückt haben dürfte. Da werden Passwörter wie Blond4711 verwendet – nein, das habe ich mir nicht ausgedacht – und sich anschließend gewundert, wenn sich russische Hacker im Netzwerk tummeln. Da wird Hirnlos Software inklusive der Adware installiert auf Teufel komm raus. Angebliche Sicherheits-Add-ons wie Web of Trust funken brav alles was im Browser passiert nach Hause. Willkommen im Hacker-Paradies (Was wirkliche Hacker schon als Angriff auf Ihre Berufsehre sehen dürfen!).

Jetzt könnte man darauf kommen, die Schuld alleine bei Amazon zu sehen. Das wäre mir hier aber etwas zu blauäugig. Amazon verdient sich an den Marktplatzhändlern eine goldene Nase und erfährt gleichzeitig welche Produkte besonders gut auf seinem Marktplatz verkauft werden. Warum sollte jetzt ausgerechnet Amazon die Hürden für die Dummys so hoch setzen, das nur noch die mitspielen können, die alle Anforderungen erfüllen? Schaden muss Amazon auch nicht befürchten, weil es sich immer herausreden kann, der böse Händler ist schuld und hat sich nicht an die Vorgaben gehalten. Selbst ich muss spätestens alle 90 Tage meine Zugangsdaten im Amazon-Partnerprogramm ändern – Ups.

Und wenn ich mir manchen PC oder Server anschaue, auf dem die Datenbank des Warenwirtschaftssystem gehostet wird, dann stellen sich mir die Haare zu Berge – wie hier am Beispiel von Zec+ unter dem Geschäftsführer Matthias Clemens auch schon gezeigt. Mal ganz davon abgesehen, in welchem Zustand der Rest der Infrastruktur sich nicht nur bei diesem Händler befindet. Und genau solche Typen jammern anschließend einem die Ohren voll, dass sie kein Geld haben und die IT-Kosten so hoch sind. Wenn ich selbst keine Ahnung habe und mein Geschäft in die Hände von Vollpfosten gebe, weil ich zu geizig bin, das von Fachleuten machen zu lassen, dann sollte ich mich später auch nicht beschweren.

Gibt es jetzt Betrüger-Shops auf Amazon?

Die Anzahl der Betrüger-Shops auf Amazon liegt bei genau 0% aller Shops. Allerdings dürften mehr als 90% der Marktplatzhändler nicht mal ansatzweise heil durch eine Sicherheitsüberprüfung kommen. Und das ist für kriminelle Banden ein überaus lohnendes Ziel, welches sich ohne großen Aufwand gnadenlos abschöpfen lässt. Das Ganze auch noch fast ohne Risiko dafür strafrechtlich belangt zu werden. Also Amazon Seller Central Account hacken, abkassieren und nach dem nächsten Vollpfosten suchen, der auf die alte Masche hereinfällt. Wer jetzt noch wissen will wie diese Phishing-Mails aussehen und wie er sie erkennen kann, den kann ich diesen Link ans Herz legen: http://www.shopdoc.de/betrugsmasche-vorsicht-vor-amazon-phishing-mails/.

LiMux am Ende?

Das der Münchner Oberbürgermeister ein Unternehmen mit einer Studie beauftragt, das zusammen mit Microsoft eine Firma betreibt, die dessen Produkte in die Firmen bringen soll, ist ungefähr so, als wenn ich einen JTL Service Partner frage, welches Enterprise Resource Management System ich für meinen Online Handel verwenden soll. Damit Stand das Ergebnis der in Auftrag gegebenen Studie schon fest, bevor in schweißtreibenden Nachtschichten die Consultants von Accenture ihren 450 seitiges Märchen vom leistungsstarken Windows Client im Rathaus abgeben konnten. Nach dieser Meldung dürfte es wieder neue Reichsbürger in diesem Land geben, die langsam zurecht an der Zurechnungsfähigkeit und damit auch der Legitimation der deutschen Exekutive zweifeln.

Klar liebt der DAU sein Office über alles. Aber muss ich dem Dümmsten aller anzunehmenden User jeden gefallen tun und seine Unwissenheit mit teuren Lizenzen unterstützen. Ist es zu von deutschen hoch bezahlten Stadtbediensteten zu viel verlangt, sich in die Niederungen von Open Source zu begeben? Da erscheint der Ex-KGB-Offizier auf dem Zaren-Thron schon als Prophet für die gute Sache. Als weiser Mann hat er ein Gesetz der Duma vorgelegt, das Open Source Software-Lösungen im öffentlichen Sektor denen aus dem Hause Microsoft vorzuziehen sind. Okay, er hat auch wieder Schreibmaschinen angeschafft und Edward Swnoden Asyl gewährt. Das Donald Trump den Typen sympathisch findet, kann ich sogar nachvollziehen.

Die spinnen die Römer!

Und denke ich an den 45. US-Präsidenten, fällt mir nur Walter Ulbricht ein. Keine will eine Mauer bauen. Was der anti imperialistische Schutzwall den Genossen in Ost-Berlin gebracht hat, kennen wir ja. Als Vollstrecker wurde ein saarländischer Dachdeckergeselle namens Honecker eingesetzt, der tatsächlich überholen ohne einzuholen konnte. Das Ende kennen wir. Das Volk ist auf die Mauer geklettert und hat anschließend wir sind das Volk gerufen. Ob das die Amis in 40 Jahren auch machen?

Noch haben die Amerikaner rund 2 Monate Zeit, die Sache in guter alter Tradition zu Regeln. Trump wäre nicht der erste ungeliebte Politiker in den USA der mittels Gewalt an der Ausübung seines Amtes gehindert wurde. Präzisionshandfeuerwaffen dürften in ausreichender Menge vorhanden und irgendein Vollpfosten der den Abzug zieht sollte doch auch nicht schwer zu finden sein. Damit könnten wir dann den 45. US-Präsidenten abhaken und uns direkt dem 46. widmen – Arnold for Präsident.

Habe ich sonst noch was vergessen? Ach ja so als kleine Randnotiz hat der Zetsche einen Gastauftritt bei den Grünen. Hofft dort jemand das schwarz braune Gespenst Angela Petry schon im Vorfeld per Teufelsaustreibung verjagen. Dann wäre der liebe Dieter einer der wenigen, die erkannt haben, das eine Bundeskanzlerin Petry gar nicht mehr so abwegig ist. Ich sage nur Petry Heil.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.