China’s betrügerischer Online-Handel?

Der Winter kommt. In den Haushalten sind die Übergangszeiten zwischen der kalten und der warmen Jahreszeit auch immer wiedermal ein Anlass dafür; neben der Umstellung der Garderobe, das Repertoir zu überprüfen. Es ist ein guter Anlass, die Farben zu wechseln, an sich selbst mit  neuem Look zu experimentieren, oder einfach mal das Alte durch neues umzustauschen.

Der Online Handel boomt ohnehin. In besonderen Jahreszeiten wie Weinachten wird dieser boom dann zeitweise durch ein Extra-Schub an Kauffreude der Konsumenten zusätzlich beflügelt. Mit der inzwischen immer populärer werdenden Art bequem vom Sofa aus online einzukaufen und sich das Objekt der Kaufbegierde ohne zusätzliche Anstrengung nachhause liefern zu lassen, ist schon ein Luxus unserer heutigen Zeit. Ich selbst kaufe gerne online ein und bin nicht wirklich abgeneigt bzw. voreingenommen über die Unsicherheiten dieser Einkaufsmethode, die noch in vielen skeptischen Köpfen manifestiert ist, auch wenn man sie versucht durch fachliche und technische Erklärungen versucht umzustimmen.

Eine sehr gute Freundin von mir, die ebenfalls von den diversen Vorteilen des Online-Handels überzeugt ist, war heute eben gerade wegen dieser Wintersache im Word Wide Web unterwegs und auf der Suche nach einem passenden Wintermantel für eine Kurzreise in den kalten Norden. Bei den Tempraraturen der Gegende, die sie sich als Reiseziel gesteckt hatte, werden wir mit unseren mikrigen dünnen Mänteln hier im Süden (von Norden aus betrachtet) dort dann wahrscheinlich schnell zum Eiszapfen verwandelt werden, wenn wir uns nicht entsprechend „etwas wärmer“ bekleidet auf die Reise begeben.

Dank der immer besser werdenden Hinweisfunktionen der Internet Browser im Bereich der Benutzersicherheit, kann ein Einkäufer im Internet einigermassen darauf aufmerksam gemacht werden, ob eine Webseite, hierbei speziell ein Online-Shop die Minimalanforderung zur Konsumersicherheit einhält oder nicht. Konkret, ob die besuchte Webseite eine prüfbare Verschlüsselung anbietet, noch bevor man beim Abschliessen eines Kaufs sensitive Informationen des Käufers wie persönliche Daten und Bezahlinformationen über den Internet-Tresen rüberwachsen lässt. Es ist im Grunde wie das Einkaufen im Laden, nur dass beim Online Kauf noch die Personalien zwecks Wahrenanlieferung aufgenommen werden müssen.

Wie gesagt, meine gute Freundin war heute unterwegs, also virtuell einkaufen. Sie rief mich an, aufgrund des Hinweises ihres Webbrowsers, dass die Internetseite, auf der sie sich eine schöne und für die Ansprüche des Winters im Norden funktional genügende Winterjacke ausgesucht hatte, „unsicher“ sei. Sie wollte meinen Rat einholen, ob sie unter diesen Umständen ihren Einkauf fortfahren könnte, wie man solch eine Browsermeldung interpretieren sollte, oder ob sie doch lieber andere Online Shops suchen sollte, die zumindest den Kaufprozess selbst sicher abwickelt. Immerhin weiss man ja nicht, ob der Händler selbst vertrauenswürdig ist und die Ware tatsächlich so ankommt, wie gewünscht. Denn sowas ist und bleibt dann am Ende zwischenmenschlich und analog, egal wie sicher die Technik dabei zum Einsatz kommt.

So nannte sie mir am Telefon die Internet Adresse der Webseite, auf der sie sich gerade für die ausgesuchte Jacke/Mantel befand. Da ich mich, wie auch im Blog sichtbar mit Sicherheit beschäftige, hoffte ich ihr diesbezüglich einpaar Antworten geben zu können, um ihr die Entscheidung „Kaufen oder Finger weg!!!“ zu erleichtern.

Es wurde jedoch beim ersten Besuch der Webseite schnell klar, dass diese gegenwärtig zumindest keinerlei Verschlüsselung (HTTPS, Konkret eine TLS Verbindung) anbietet. Auch das Erzwingen einer HTTPS Verbindung ist nicht vorhanden, geschweige denn, dass die besuchte Webseite eine optionale HTTPS Verbindung anbietet. HTTPS ist schlichtweg Fehlanzeige auf dieser Seite.

Warum die Webseite eine DE Domain ist, aber in Estland gehostet wird, kann unterschiedliche Gründe haben. Vielleicht hat ja der Betreiber einen sehr günstigen Hosting Angebot aus Estland erhalten und hat seine DE Domain bzw. die URL dort eintragen lassen. Das ist heutzutage nicht unüblich. Selbst wenn man google.de aufruft, landet man ja nicht auf einem Server von Google, welches in Deutschland gehostet wäre. Aber da für Webseitenbetreiber, welche eine DE Domain besitzen und in der Bundesrepublik Deutschland wohnhaft sind oder ihr Geschäft betreiben eine gesetzliche Impressumspflicht gilt, sollte der Shop zumindest ein Impressum haben?

Leider auch Fehlanzeige. Auf der Webseite kann man vergeblich nach den Händlerangaben suchen. Ein Impressum existiert nicht. Allenfalls das einfache Kontaktformular kann dazu genutzt werden, um mit dem Händler schriftlich kontakt aufzunehmen….wenn dieser überhaupt antwortet.

Aber zum Glück gibt es ja noch das DENIC. Denn jede DE Domain muss von der deutschen Registrierungsstelle erfasst werden. Dort kann man zumindest sehen, wer die Webseite hat registrieren lassen, um u.a. eine Idee zu bekommen, mit wem man es denn hier im physischen Leben zu tun hat.

Die Webseite gehört laut der DENIC Registrierung also einer Stefanie Schuster, die in Schonungen bei Schweinfurt wohnhaft sein soll. Die hinterlegte Telefonummer ist zumindest in der Vorwahl die von dem angegebenen Ort Schonungen. Ich habe die Nummer angerufen. Es ging auch eine Frau dran. Aber es war eine ahnungslose Familie und nicht die Frau Schuster. Zudem gibt es auch keine „Luebecker Strasse 92“ in Schonungen. Das alles ist seltsam, um nicht zu sagen, es handelt sich mit hoher Sicherheit um einen Betrugsfall. Auch die Emailadresse im DENIC Eintrag lässt darauf hindeuten, dass diese garnicht existent ist, sondern eher eine willkürliche Emailadresse ist.

Die Domain in der Email Adresse „163.com“ gibt es tatsächlich. Und wen wunderts, es ist eine Domain in China.

Auch wenn ich chinesischen Online Händlern in Ebay immer mehr vertrauen schenke (ich habe einpaar Artikel aus China bestellt und diese kamen auch wie beschrieben und pünktlich an), eigenständige Online Handelsplattformen, die mit einer DE Domain enden, in Estland gehostet sind, kein Impressum haben, nicht verschlüsselt sind und deren Admin Email eine chinesische Domain darstellt? Nein, diesen muss ich sicher kein Vertrauen schenken!

Zudem rühmt sich dieser Online Shop damit, nicht nur die Sicherheit und Privatsphäre mit der sicheren SSL Verschlüsselung zu gewährleisten, nein, im Bereich der Kasse gibt dieser auch noch an, für Kreditkartenzahlungen den PCI DSS Standard zu erfüllen. Zudem gibt die Seite noch frecher Weise den Banner der Firma Trustware an, welches ein akkreditiertes Unternehmen seitens des „Payment Card Industry Security Standards Councils“ (Kurz PCI SSC), quasi eine ziemlich bekannte Prüfungsgesellschaft für die Sicherheitsstandards des PCI SSC darstellt.

Der PCI DSS Standard: Der Payment Card Industry Data Security Standard (kurz PCI DSS), ist ein Sicherheitsregelwerk im Zahlungsverkehr, das sich auf die Abwicklung von Kreditkartentransaktionen bezieht und von allen wichtigen Kreditkartenorganisationen unterstützt wird. Handelsunternehmen und Dienstleister, die Kreditkarten-Transaktionen speichern, übermitteln, oder abwickeln, müssen die Regelungen erfüllen. Halten sie sich nicht daran, können Strafgebühren verhängt, Einschränkungen ausgesprochen, oder ihnen letztlich die Akzeptanz von Kreditkarten untersagt werden.

Doch hier, in diesem Online-Shop wird der Standard ja schon in eines ihrer fundamentalen und umumgänglichen Anforderungen verletzt: Die Verschlüsselte Übertragung von Kreditkarteninformationen. Wie kann also eine Handelsplattform PCI DSS konform sein, wenn sie nichteinmal verschlüsselt? Dazu noch von Trustwave geprüft? Solche Prüfungen durch dritte Unternehmen sind ohnehin dann nur Pflichtprogramm, wenn der Händler die Anzahl jährlicher Transaktionen um 6 Mio. Transaktionen überschreitet (Level 1 Händler). Ich kann mir nicht vorstellen, dass solch eine eher unbekannte Webseite im Jahr 6 Mio. Mäntel/Hosen/Socken verkauft. Wenn doch, will ich in dieses Geschäft gerne mit einsteigen 😉

Und wie kommt es dazu, dass diese Webseite, abgesehen vom fehlenden Impressum und der SSL Verschlüsselung (mit signiertem Server-Zertifikat) so seriös aussieht? Dazu noch mit einem perfekten Deutsch in den Beschreibungen der Artikel?

Die Google-Suche eines Ausschnitts der Beschreibung eines willkürlich ausgesuchten Artikels lässt im Suchergebnis von Google schlimmeres erahnen. Das Netz ist voll mit diesen Online-Shops. Allesamt mit dem gleichen Muster! Alle haben die gleiche Online Software installiert, alle sind unverschlüsselt, alle haben kein Impressum und alle geben die gleichen Sicherheitsbanner an (PCI DSS, Trustwave, etc….). Ein weiteres Beispiel zeigt, dass die Registrierungsinformationen einer weiteren Webseite mit diesem betrügerischen Hintergrund mit dem gleichen Muster registriert wurde. Wieder ist es angeblich eine Frau, die in Deutschland wohnen soll, wieder eine seltsame Emailadresse der Domain 163.com.

Und wer jetzt denkt, alle diese Webseiten sind im gleichen Rechenzentrum in Estland gehostet, der irrt. Während es sich hierbei um DE Domains handelt, sind die Hoster weltweit verteilt. Die von mir gesichteten Hoster waren meist Cloud Hosting anbieter, irgendwo in den USA oder Europa.

UND DAS NETZ IST VOLL MIT DIESEN ONLINE-SHOPS. Jetzt werden sie bestimmt sagen „Na selbst dran schuld, wer da drauf reinfällt“. Glauben sie mir, es gibt genug Menschen, die darauf reinfallen. Denn man kann nicht von allen Menschen erwarten, dass sie auf einer, auf dem ersten Blick recht seriös anmutenden Webseite mit notwendigem technischen Wissen herausfinden sollen, ob es sich dabei um einen ehrlichen Online-Händler oder um die Kreditkartenmafia handelt. Die meisten wollen doch nur einkaufen……..

Vielleicht fragen sie sich auch, wie ich denn darauf komme die Chinesen zu verdächtigen, nur weil ich eine Emailadresse habe, welche einer chinesischen Domain gehört? Ich finde, so einfallsreich und fleissig wie die Chinesen sind, wäre ich schon fast enttäuscht, wenn nicht sie dahinter stecken würden. Ah ja, man achte noch auf die interessanten Internetadressen: Eine Bäckerei oder Elektrohandel, welche Wellensteyn Mäntel verkaufen. Das ist doch sehr einfallsreich. Man diese Chinesen, so kreativ! 😀

  • Related Posts

    • Archiv
    • Dezember 22, 2017
    • 57 views
    Das Bankengeheimnis der Big 6 – Nicht alle bleiben geheim

    Ausländer (also jene, die einen ständigen Wohnsitz ausserhalb der Schweiz haben) mit Konten in der Schweiz werden ab 2017 von dem sogenannten automatischen Informationsaustausch (AIA) erfasst. Dagegen werden Schweizer mit…

    • Archiv
    • Dezember 21, 2017
    • 77 views
    LINK Institut will mich befragen – WTF?

    Heute Abend habe ich aus heiterem Himmel eine SMS erhalten, von einer Service Nummer 5465 unter dem Namen „LINK“. WER IST LINK???? Eine Zwangs-Abo-Masche? Dazu noch auf meine Nummer, die…

    You Missed

    Das Jewar Projekt der Flughafen Zürich AG – Ein „Moving Target“ Abenteuer?

    • Oktober 30, 2024
    • 48 views
    Das Jewar Projekt der Flughafen Zürich AG – Ein „Moving Target“ Abenteuer?

    Weihnachtszeit ohne Konsumdruck – Eine alternative Sichtweise

    • Oktober 21, 2024
    • 63 views
    Weihnachtszeit ohne Konsumdruck – Eine alternative Sichtweise

    The Brain Pollution – Das kognitive CO², das unser Kopfklima wandelt

    • Oktober 17, 2024
    • 112 views
    The Brain Pollution – Das kognitive CO², das unser Kopfklima wandelt

    Google Play Store checkt Nutzung von Apps

    • Oktober 17, 2024
    • 119 views
    Google Play Store checkt Nutzung von Apps

    Israelische Firma liefert Cybersicherheit für türkisches Militär und Ministerien

    • Oktober 17, 2024
    • 54 views
    Israelische Firma liefert Cybersicherheit für türkisches Militär und Ministerien

    A vendor experiences a data breach. How do you protect sensitive information?

    • Oktober 17, 2024
    • 56 views
    A vendor experiences a data breach. How do you protect sensitive information?