Auch wenn ich nicht dachte dass es MICH jemals erwischen könnte, aber mein Ebay-Account wurde gehackt (die Vorkasse-Kunden hatten daher ein Weilchen auf ein Konto in ein "Ostland" überwiesen). Ebay, Polizei und Kunden wurden bereits von mir verständigt.

Nunja, ist mal so, kann man nicht mehr ändern, der Schaden (knapp 1.000 Euro, ca. 20 geschädigte Kunden) ist zwar sehr ärgerlich, aber glücklicherwiese bloß ein blaues Auge.
Das erste mal dass ich froh bin dass nur ganz wenige Ebay-Kunden per Überweisung bezahlen

Mir geht es in erster Linie um das Verhalten von Ebay: Deren Auskunft war eher schwammig. Der bemühte Mitarbeiter der Sicherheitsabteilung meinte dass sich geschädigte Kunden an Ebay wenden können und sie dort evtl. auf Kulanz eine Gutschrift o.ä. bekommen. Auch wurde in Aussicht gestellt dass man sich dann Konflikte/Bewertungen die aus dieser Sache resultieren "anschauen" könnte. Offensichtlich ist Ebay also durchaus interessiert sowas vom Tisch zu bekommen.

Hatte schonmal jemand einen vergleichbaren Fall?

Denn wenn ich jetzt einfach 20 Pakete ohne Geld rausschicke (und dazu sehe ich mich allein schon aus moralischer Sicht durchaus verpflichtet), trage ich den Schaden zu 100% selbst. Auch wenn der eine oder andere Kunde erfolgreich um eine Entschädigung bei ebay ansucht, wird er diese im Regelfall selbst behalten und nicht nachträglich an mich weiterleiten (somit hat er dann Ware UND Geld, und ich weder Ware noch Geld).

Wenn ich mich im Gegensatz dazu weigere und die Kunden eiskalt auf Ebay verweise, komme ich mir ziemlich schäbig vor. Vor allem da es tw. um Kleinbeträge geht bei denen die Kunden wohl eher das Geld abschreiben werden anstatt es sich von Ebay zu holen, was natürlich auch kein tolles Licht auf mein Unternehmen wirft.

Gerne erwarte ich eure sachdienlichen Hinweise

Ja, hatte ich auch mal vor etlichen Jahren, als ich da noch verkauft habe.

Erst hat sich eB einsichtig gezeigt, weil ja ihre Sicherheitsmaßnahmen nicht ausreichend waren.
Einige negative Bewertungen wurden auch gelöscht. (Automatisch?)

Nach ein paar Tagen musste ich allerdings jede Aktion einzeln melden.
Dann wechselte wohl mein Sachbearbeiter und der wusste von der Sache nichts.
War ein riesiger Aufwand, das wieder auf die Reihe zu kriegen.

Den Ärger mit den Kunden hatte allerdings ich am Hals.

@ak-k-seltzer
Was meinst Du mit "jede Aktion einzeln melden"?

Nur um kein Mißverständnis aufgekommen zu lassen:
- Es gab/gibt keinerlei Accountsperre oder Einschränkung
- Ich habe die Bankdaten im Account selbst richtiggestellt
- Nachdem ich Ebay kontaktierte hat mir der Ebay-Sicherheitsmensch (zwecks Polizeianzeige) die gefakten Bankdaten per Mail geschickt (denn im Account sind diese ja teilweise geXXXt)
- Von daher gehe ich davon aus dass Ebay hier von sich aus keine weiteren Schritte unternehmen wird. Auch gehe ich davon aus dass seitens Ebay KEINE Verständigung an Kunden erfolgt

Die Kunden hatte ich dann selbst verständigt, auch zwecks Schadensbegrenzung (denn so mancher hat evtl. eh noch gar nicht überwiesen).
Die Reaktionen der Kunden darauf waren tw. auch sehr ... sagen wir mal ... durchwachsen und nur selten hilfrech.

roman hat geschrieben:@ak-k-seltzer
Was meinst Du mit "jede Aktion einzeln melden"?

Es war so, dass mein Account geknackt wurde.
Darin wurde dann eine E-Mail-Adresse von einem Ami-Account hinterlegt.
Über meinen Account wurde dann Ware im Wert von ca. 20.000,-- bestellt.
In Frankreich, Italien und Spanien.

Ich habe das nur gemerkt, weil ich zufälligerweise in "Mein eBay" war und dort im Sekundentakt irgendwelche Bestellungen aufliefen.

Der Ami bekam nur die Mails und wusste natürlich auch nicht was los war. Zumal es nachts um ca. 2:00 Uhr war.

Dann versuche mal einem Franzosen, Italiener, oder Spanier, die weder Deutsch noch Englisch sprachen, beizubringen, die Ware nicht auszuliefern...
Zumal einige dabei waren, die Ware schon zu versenden. (Auch ohne Zahlungseingang.)

Die roten Bewertungen ließen natürlich auch nicht lange auf sich warten.
Und da musste dann jede einzelne Auktion gemeldet werden und auf den guten Willen des Sachbearbeiters gewartet werden, dass die gelöscht werden.

Insofern hatte ich keinen Ärger mit den Kunden, sondern mit den Verkäufern.

Interessant bei der Schuldfrage ist doch, wie die an die Zugangsdaten gekommen sind.
Haben die bei ebay was gehackt oder hast du dich phishen lassen oder ein zu einfaches Pw genutzt oder das gleiche Pw bei anderen (unseriösen) Seiten?

martin_82 hat geschrieben:Interessant bei der Schuldfrage ist doch, wie die an die Zugangsdaten gekommen sind.
Haben die bei ebay was gehackt oder hast du dich phishen lassen oder ein zu einfaches Pw genutzt oder das gleiche Pw bei anderen (unseriösen) Seiten?

Das hat eBay damals seltsamerweise gar nicht interessiert.
Haben ihre "Schuld" direkt anerkannt und sich entschuldigt.
Hat mich auch gewundert.

eBay wird nicht wirklich daran interessiert sein, dass derartige Fälle gehäuft publik werden und daher versuchen, den Schaden gleich zu regulieren.

Gerade sind ja wieder viele Phishingmails im Umlauf, wo der Besucher auf eine infizierte eBay-Seite gelockt wird. Und da wäre dann eBay sehr wohl in der Pflicht, wenn der Angriff von einer eBay-Seite selbst ausging, die Schutzmechanismen von eBay also nicht greifen.

martin_82 hat geschrieben:Interessant bei der Schuldfrage ist doch, wie die an die Zugangsdaten gekommen sind.

Das wird man wohl nie klären können.

Passwort war, sagen wir mal, mittelstark. Eine komische und mittellange Zahlen-/Buchstabenkombination fernab von jedem Wörterbuch (wobei es bzgl. Sonderzeichen+Großschreibung sicher noch ausbaubar hätte sein können).

Da ich, nachdem ein Büromitarbeiter ausscheidet, immer Ebay/Paypal/Afterbuy-PW ändere (komplett unterschiedlich!), war das auch noch ziemlich frisch und unverbraucht.

Bzgl. Phising habe ich meine Mädels schon oft unterwiesen, das war mir immer schon extrem wichtig. Da wir täglich oft 20-30 Phishing-Mails in allen erdenklichen Variationen erhalten (wir hatten sogar schon Mailverkehr mit solchen Betrügern), gibt's hier viel Stoff zum üben. Im Normalfall erkennen die das immer sehr gut. Ausschließen kann ich es natürlich trotzdem nicht dass hier was passierte.

Das interessante daran:
Der Hack war vor ca. 10 Tagen. Wir hatten damals von Ebay auch eine Info erhalten dass der Account vermutlich gehackt wurde, und dass die betrügerischen Aktivitäten storniert wurden. Ebay hatte auch das Passwort automatisch zurückgesetzt.
Wie Ebay darauf gekommen ist: Vermute dass es evtl. an einem Login aus einem "unüblichen" Land lag und/oder weil eine rumänische IBAN hinterlegt wurde.

Den Textbaustein den Ebay damals gesendet hatte, war aber leider der falsche: Dieser bezog sich mehr darauf dass jemand Fake-Angebote bei uns einstellte, was jedoch definitiv nicht der Fall war.
Ich hatte mich daher dann mehr darauf konzentriert die laufenden Angebote zu checken. Auch Paypal-Adresse, Impressum, Mailadresse, Ebaykommunikation etc. habe ich gecheckt, aber leider dachte ich nicht daran den IBAN, der für die Banküberweisungen der Kunden hinterlegt ist, zu checken.

Ich möchte mich nicht auf Ebay ausreden, aber wäre deren E-Mail nicht so sehr in Richtung "Fake-Angebote" und "wir haben das bereits storniert" gegangen, hätte ich da sicher noch mehr gesucht und hätte den falschen IBAN gefunden.

Auf jeden Fall haben dann die Kunden fast 10 Tage lang auf eine Bank nach Rumänien überwiesen. Da nur mehr wenige Kunden bei Ebay Überweisung auswählen, haben eben erst am 10. Tag 2 Kunden reklamiert was ich dann zum Anlaß nahm die Bankdaten anzusehen.

Polizeianzeige (immerhin gibt's dort einen Cybercrime-Verantwortlichen) habe ich auch bereits gemacht. Das ist eher witzig:

Die Polizei schickt das jetzt an den Staatsanwalt mit der Bitte dass man mit dem Ausland Kontakt aufnehmen darf. Der Staatsanwalt prüft den Akt und schickt danach das OK zurück zur Polizeidienststelle, die Polizeidienststelle schickt das danach weiter an die Kriminalpolizei, und die kontaktieren dann die ausländische Polizeibehörde.

Klar, hier geht's um kein Vermögen. Aber wenn ich bedenke dass zum Beispiel noch am Freitag Kunden Geld überwiesen haben (dieses Geld wird daher erst morgen, im Laufe des Tages, am Betrugskonto gebucht), wäre mit ein bisl mehr Speed hier noch was zu retten (bzw. ein besseres Ermittlungsergebnis möglich) wenn hier SCHNELL eine Kontosperre gemacht wird damit die Bank gar keine Überweisungen mehr für das Konto annimmt/bucht.

Denn entweder ist das Empfängerkonto mit gefälschten Daten eröffnet und es wird jeden Tag das Guthaben abgehoben, oder es steckt ein ahnungsloser "Finanzmitarbeiter" (=ebenfalls Opfer) dahinter der sich 20% behalten darf und den Rest täglich per Western Union ins Nirvana schickt.

Da es sich pikanterweise um die rumänische Niederlassung einer der größten österr. Banken handelt, könnten die Wege ja so kurz sein, wenn nur ein Wille da wäre ...

roman hat geschrieben:Da es sich pikanterweise um die rumänische Niederlassung einer der größten österr. Banken handelt, könnten die Wege ja so kurz sein, wenn nur ein Wille da wäre ...

An deiner Stelle würde ich die Bank anrufen.

martin_82 hat geschrieben:Interessant bei der Schuldfrage ist doch, wie die an die Zugangsdaten gekommen sind.
Haben die bei ebay was gehackt oder hast du dich phishen lassen oder ein zu einfaches Pw genutzt oder das gleiche Pw bei anderen (unseriösen) Seiten?

Jo, das wäre auch Interessant zu wissen. Wir benutzen hier zum Beispiel zufallsgenerierte Passwörter nach dem Motto Xhbw8wöbw830bnklas893 und im Browser werden die nicht gespeichert

Hinsichtlich der Kunden und doppelter Erstattung: Schlag Ihnen doch vor, dass sie wählen können. Entweder deine Kulanz oder die Entschädigung von ebay. Wenn sie deine wählen, dann sollen Sie dir die Ansprüche von Ebay abtreten und die Entschädigung von ebay wird direkt an Dich überwiesen.

@alexhell
Die Kommunikation mit den Kunden gestaltet sich "sehr schwierig", das ist sehr chaotisch.
Ich hab's jetzt eh aufgegeben, und kümmere mich dort, wo nicht schon die Kunden etwas getan haben, selbst drum. Waren werden rausgeschickt, fertig.
Warte dann ein paar Tage ab bis ich die volle Übersicht habe (wer hat schon überwiesen, wer nicht, wer hat sich direkt an Ebay gewandt ...), und werde dann bei Ebay bzgl. "Schadensbeteiligung" anklopfen.

roman
Du hast dann vermutlich keine Änderungsmail erhalten wegen des neu eingetragenen Bank-Kontos?
Bekommt man nicht normalerweise eine Mail von ebay, daß man xxx geändert hat?

@holzine
Ohja, dass "Zahlungsinformationen" geändert wurden.
Und ca. 10 Minuten später dann gleich die Mail dass die nicht autorisierten Aktivitäten storniert wurden, und eine (jedoch leere) Liste der veränderten Angebote die storniert wurden, und das Passwort zurückgesetzt wurde.
Und ja, beide Mail waren tatsächlich von Ebay.

Ich hatte das damals durchaus ernst genommen: Angebote gecheckt, Impressum, Mailadresse, Paypaladresse, Ebaymailsystem und noch ein paar Dinge die man so als "betrugsrelevant" im Kopf hat.
Aber an den IBAN hatte ich nicht gedacht, denn Ebay hatte ich da quasi mit "Paypal" gleichgesetzt (was ja in der Praxis auch fast immer so ist).
Ich weiß, hätte mir alten Hasen nicht passieren dürfen, da habe ich geschlafen. Im Hinterkopf hatte ich halt auch das "die Aktivitäten wurden storniert", daher hat dann die letzte Konsequenz bei meiner Recherche gefehlt.

Positives von der Schadensfront: Ein paar Kunden hatten eh noch gar nicht überwiesen.
Und - das coolste - das Zielkonto wurde scheinbar schon gesperrt (ich vermute aber wegen anderer Anzeigen/Vorfälle, denn das wäre zu schnell für meine Anzeige). Daher hat zumindestens 1 Kunde die Zahlung schon wieder zurückbekommen wegen "Konto aufgelöst". Der hat sich gefreut wie der Nikolaus, denn der hat jetzt von Ebay scheinbar einen Paypalgutschein als Schadenersatz bekommen UND sein Betrugsgeld ist auch retour, welches er mir gleich überwiesen hat. Das war nämlich ausgerechnet die allergrößte Einzelsumme von allen betroffenen Transaktionen.

roman hat geschrieben:... welches er mir gleich überwiesen hat. Das war nämlich ausgerechnet die allergrößte Einzelsumme von allen betroffenen Transaktionen.

Das freut mich für dich, daß alles gut ausgegangen ist.
Ich hatte gestern bei ebay ein neues Konto eingetragen. Nicht zum Testen, sondern weil ich wirklich auf ein neues Konto umsteigen muß und gestern war es soweit, hab im Briefkasten die letzten noch fehlenden Dokumente gefunden.
Da hab ich mir gedacht, so ein Zufall, jetzt werde ich ja sehen, ob man benachrichtigt wird.
Und was war? Keine Benachrichtigung.

Nach einer kleinen Wartezeit rief ich bei ebay an und fragte genau danach. Und ob ich evtl. irgendwo etwas einstellen müsse, um eine Benachtigung zu erhalten.
Die Mitarbeiterin redete zwar viel, ging aber nicht auf meine Frage ein.
Darum wiederholte ich nach einer Weile meine Frage noch einmal, bekam aber wieder keine Antwort darauf. Sie sagte aber allgemein gehalten, daß man immer benachrichtigt wird, wenn man seine persönlichen Daten ändert. Nur sagte sie mir nicht, warum ich keine Benachrichtigung erhalten habe.

Das heißt dann wohl, es gibt da nichts, was man extra einstellen muß.
Laut der Mitarbeiterin wird das Konto aber überprüft von ebay in der gleichen Weise mit dem 1 Cent wie beim Paypalkonto. Sie sagte mir, das könne ich dann in meinem Konto sehen.