17.05.2013

Fußball-Lust kann zu Fan-Frust werden

Fußball-Lust kann zu Fan-Frust werden Warning

Allem Anschein nach hat sich der Betrüger in eBay-Konten gehackt und deren Reputation ausgenutzt, um seine dubiose Finalkartenverkaufsaktion aufzuziehen. So sind G DATA mindestens vier Beispiele bekannt, die womöglich von ein und derselben Person aufgesetzt wurden:

Masche 1: Nicht existierende Karten stehen zum Verkauf

Die Anzahl der zur Verfügung stehenden Eintrittskarten ist mit knapp 90.000 verschwindend gering, bedenkt man die gestellten Kartenanträge, die allein bei den beiden deutschen Finalisten nach dem Erreichen des Finalspiels eingingen (BVB: 502.567; FCB: über 250.000). Schnell wurden die Auktionsportale und Kleinanzeigen-Märkte mit Angeboten für Karten gefüllt, jedoch sind hier mit sehr hoher Wahrscheinlich viele Angebote eingestellt, bei denen gar keine (echten) Karten zum Verkauf stehen, sondern lediglich das Geld abkassiert werden soll.

An dieser Stelle sollte besonders beachtet werden, dass es schon viele negative Berichte über bei Privat-Auktionen angegebenen Versandarten und -versicherungen gibt: Die Versicherung umfasst bei einem Paketversand nur den tatsächlichen Wert einer Ware, nicht den gezahlten Auktionspreis, so ein Ratgeber. Die begehrten Finaltickets (egal ob wirklich vorhanden oder nicht) werden jedoch in den meisten Fällen für ein Vielfaches des realen Werts verkauft. Geht das Paket verloren, bekommt der Käufer eben nur maximal den realen Wert ersetzt. In einem Einschreiben dürfen Eintrittskarten nur bis zu einem tatsächlichen Wert von 25€ versendet werden.

Tipp:

Achten Sie bei Auktionsportalen immer auf die Bewertungen des Verkäufers. Hat er sich gerade erst angemeldet? Wie gut sind seine Bewertungen? Können Sie ihn persönlich kontaktieren, die Ware vielleicht sogar abholen? Können Sie seine Adressangaben überprüfen? Auch wenn das begehrte Spiel nur noch wenige Tage auf sich warten lässt, sollte die gebotene Eile nicht von den Fakten ablenken!
Abgesehen davon, sind die Karten personalisiert und damit kann ein Zutritt zum Stadion nach dem Kauf einer Karte aus nicht offiziellen Quellen verwehrt werden (siehe Masche 6).

Masche 2: Finale? Ja! Aber das der Frauen!

Schon mehrfach wurde darüber berichtet, dass den willigen Kunden und Fans Karten für das Champions League Finale in Wembley über diverse Portale verkauft wurden. In einigen dieser Fälle handelte es sich allerdings nicht um Karten für das begehrte Finale der Herren, sondern um das Endspiel der Frauen, das am 23. Mai ausgetragen wird, ebenfalls im Londoner Wembley-Stadion.
Die Netzgemeinde amüsiert sich aktuell über einen Facebook-User namens Andre, dem einem Screenshot nach eben genau diese „falschen“ Finalkarten verkauft wurden.

Tipp:

Lesen Sie die Beschreibungen von Angeboten immer ganz genau durch! Außerdem ist Vorsicht geboten bei Angeboten, die sich einfach zu schön anhören, um wahr zu sein. Auf den diversen Portalen werden für die Endspielkarten der Herren bis zu 5-stellige Euro-Beträge geboten – eine relativ günstige Karte sollte dann besonders gründlich unter die Lupe genommen werden. Natürlich ist es aber nicht auszuschließen, dass auch Karten für das Endspiel der Frauen hohe Verkaufssummen erzielen… absichtlich oder unabsichtlich.

Masche 3: Kartenversand erfolgt so schnell wie möglich… nach dem Spiel

Eine besonders gemeine Masche wurde von den Experten der G DATA SecurityLabs ebenfalls auf einer großen deutschen Auktionsplattform gesichtet: Der Anbieter, der nur eine einzige Bewertung vorzuweisen hatte, beschrieb Karten für das Herrenfinale und erweckte einen sehr seriösen Eindruck. Doch am Ende des langen Beschreibungstextes wurde ein ganz entscheidender Satz hinzugefügt! Das Angebot wurde innerhalb kurzer Zeit aus dem Verkehr gezogen und somit hat der Anbieter kein Geld erhalten. Aber es ist nicht auszuschließen, dass ein ähnliches Angebot erfolgreich beendet wird.

Tipp:

Auch in diesem Fall gilt: Lesen Sie die Beschreibungen von Angeboten immer ganz genau durch!

Masche 4: Inoffizielle Gewinnspiele als Datenkrake

Die UEFA untersagt es ausdrücklich, Eintrittskarten für „kommerzielle Zwecke wie für Promotion, Werbung, als Preis in einem Wettbewerb oder Gewinnspiel oder als Teil eines Pauschalpakets (zum Beispiel Kombination von Flug, Hotel und Eintrittskarten)“ zu verwenden, sofern man nicht offizieller Sponsor der UEFA Champions League ist.

Sehr beliebt sind neben Gewinnspielen auf diversen Webseiten auch ausgeschriebene Gewinnspiele bei Facebook. Selbst wenn die Anbieter Besitzer von legitimen Karten sind, sind diese Gewinnspiele für die meisten FB-Accounts nach den UEFA Richtlinien, wie oben erwähnt, nicht gestattet und außerdem erschleichen sich die Facebook-Seitenbetreiber durch ihre Teilnahmebedingungen sowohl die Nutzerdaten als auch die „Likes“. Mehr Informationen zum Erschleichen von Facebook „Likes“ gibt es in unserem G DATA SecurityBlog Artikel „Präparierte Browser-Erweiterung sorgt ungewollt für Facebook-Likes“.

Tipp:

Vermeiden Sie es, bei den angebotenen Gewinnspielen von Nicht-Sponsoren, ihre persönlichen Daten einzugeben. Diese Daten könnten sich Datensammler zu Nutze machen, um Ihnen zu einem späteren Zeitpunkt personalisierte und auf Ihr Fußballinteresse zugeschnittene Nachrichten (Spam, Werbung) zukommen zu lassen.

Masche 5: Angebote zu London-Reisen und Final-Events als Lockmittel

Zur Gruppe der Nutznießer aus diesem Großevent wollen selbstverständlich auch Spam-Versender gehören: Neben Angeboten von Karten landen auch Angebote für Reisen zum Finale oder für vermeintlich exklusive Events massenweise in den elektronischen Postfächern. Die Seriosität der Angebote ist häufig sehr schwer zu ermitteln, da oft unbekannte Firmen und Eventagenturen den Massenversand nutzen, um potentielle Kunden für ihr Produkt zu interessierten.

Tipp:

Wenn Sie Reisen oder Events zu dem Finalspiel buchen wollen, wenden Sie sich vertrauensvoll an einen lokalen Anbieter, die Geschäftsstellen der beiden Finalteilnehmer oder gar die UEFA selbst. Recherchieren Sie zunächst ausführlich über die Anbieter und überweisen Sie nicht voreilig Geld für Leistungen auf unbekannte Konten.

Selbstverständlich gilt, wie immer: Links und Dateianhänge in E-Mails und auch in sozialen Netzwerken sollten nicht unbedacht angeklickt werden. Die Dateien oder die Webseite könnten mit Schadcode verseucht sein.

Masche 6: Verkauf der Karten vor Ort, am Stadion

Die von der UEFA offiziell ausgegebenen Eintrittskarten für das Finalspiel sind personalisiert und somit generell nicht für den Weiterverkauf freigegeben. Da auf der Karte selbst kein Name des Antragsstellers oder auch des Gastes sichtbar ist, liegt die Vermutung nahe, dass diese personenbezogenen Daten in den aufgedruckten Barcode eingearbeitet sind. Die UEFA bestätigt, dass die Daten in jedem Fall personalisiert sind. Zum Zeitpunkt des Stadionzutritts können die Sicherheitskräfte vor Ort diese aufgedruckten Daten auslesen und die Vorlage des passenden Ausweisdokuments verlangen, das bei der Reservierung/Bestellung vorzulegen war.

Nicht selten werden am Ort des Geschehens oder in der Stadt auch Kopien von Karten angeboten. Die Betrüger versuchen auf edel wirkendem Papier und mit mehr oder weniger ausgefeilter Drucktechnik die Originalkarten nachzuahmen. Die meisten modernen Eintrittskarten verfügen daher über optisch erkennbare und auch ertastbare Sicherheitsmerkmale wie Hologramme, Reliefstrukturen und bestimmte Lacke, die nicht einfach zu fälschen sind.

Tipp:

Sollten Sie ohne Eintrittskarte zu dem Spiel anreisen, lassen Sie sich also nicht von Straßenhändlern vor Ort weiß machen, die Karten seien ohne Bedenken zu erwerben und nicht personalisiert, weil kein expliziter Name aufgedruckt ist!

**** UPDATE, 22.05.2013, 11.30 Uhr ****

Zu den schon dargestellten Betrugsmöglichkeiten auf Auktionsplattformen gesellen sich weitere Beispiele: Den Experten der G DATA SecurityLabs wurden Informationen über einen Anbieter zugespielt, der nicht nur mehrfach mehrere Karten für das Champions League Finale anbot (siehe Screenshot unten), was an sich schon sehr unwahrscheinlich ist, sondern dies zudem mit Hilfe von gehackten eBay-Konten tat, um seine Glaubwürdigkeit zu erhöhen!

Ein aufmerksamer Kartensucher (Dennis) entdeckte ein solches ein Angebot, war aber von Anfang an misstrauisch. Er kontaktierte den Anbieter (Alexander) über die im Beschreibungstext-Bild angegebene E-Mail Adresse, um nähere Informationen über das Angebot einzuholen und geriet so ins Gespräch mit dem Betrüger. Eine kurze Recherche zur im Bild angezeigten E-Mail Adresse ergab, dass diese auch schon in anderen potentiellen Verkaufsbetrügereien verwendet wurde.

Nachfolgend ein Auszug aus den ausgetauschten E-Mails in chronologischer Reihenfolge:

Versprochen wurde demnach eine Kaufabwicklung über eBay, bei dem Käufer und Verkäufer bestimmte Rechte und Pflichten haben, die durch die Nutzung der Plattform geregelt sind. Nach dem Austausch einiger weiterer Mails erhielt Dennis dann eine auf den ersten Blick täuschend echt aussehende E-Mail von eBay.

Alle von G DATA aufgespürten Finalkarten-Angebote dieser Art sind aktuell aus dem Verkehr gezogen – jedoch ist es nicht auszuschließen, dass sie an anderer Stelle wieder auftauchen, so kurz vor dem großen Ereignis!

Tipp:

Wie schon zuvor erwähnt: Lesen Sie die Angebote sorgfältig! Kontrollieren Sie den Verkäufer sorgfältig! Schließen Sie einen Vertrag nur über das jeweilige Portal ab, denn nur so haben sie die gewohnten Käuferrechte. Seien Sie misstrauisch, wenn eine Einzelperson eine Vielzahl von Karten anbietet – in allen offiziellen Ticketverlosungen konnten pro Person maximal zwei Karten erworben werden.



Wichtige IT-Security-News per E-Mail

  • Aktuelle IT-Gefahren
  • Schutz-Tipps für Privatkunden
  • 15 % Willkommensgutschein