Ich habe heute ein paar eMails erhalten, in denen stand, dass ich mich bei AutoScout24 angemeldet und eine Anzeige erstellt hätte. Es gab sogar schon Anfragen zu dem entsprechenden Automodell. Tatsächlich hatte sich jemand meiner eMail Adresse bedient und konnte einfach so auf AutoScout24 agieren. Ich habe alles selbst nochmal nachgestellt und zeige Euch hier, dass es bei AutoScout24 überhaupt keine Sicherheitsvorkehrungen gibt.

Erst hatte ich angenommen, dass jemand meinen eMail Account gehackt hätte. Aber das Passwort war wirklich sicher und nachdem ich mich eingeloggt hatte wurden die Mails auch als ungelesen angezeigt. Zudem gab es mehrfache Aufforderungen die eMail Adresse zu bestätigen. Ich nehme also an, dass man mich nicht gehackt hat, sondern schlicht meine eMail Adresse benutzt hat.

eMail Registriereung aktivieren

Registrierungsmail

Ich rief also bei AutoScout24 an und schilderte meine Entdeckung und wollte aus reiner Neugier wissen, ob es denn sein kann, dass ohne auf den Bestätigungslink zu klicken dennoch eine Nutzung der Plattform möglich sei. Die Antwort war “Ja, Sie können schon Anzeigen erstellen.”, worauf mir ein “Sehr professionell.” herausrutschte, dass mit einem Schnaufen erwidert wurde. Jedenfalls wurde das Angebot ohne weitere Nachfrage gelöscht – auch fragwürdig, woher wusste man denn, dass ich der korrekte Besitzer der eMail Adresse war? Ich suchte dennoch weiter nach Anzeichen, dass meine eMail Adresse kompromittiert war, aber gab keine Anzeichen, dass sich jemand bei mir eingeloggt hatte. Der letze angezeigte Login war sogar Jahre her, da ich die Adresse eigentlich stillgelegt hatte.

Also wurde ich neugierig und meldete mich selber bei AutoScout24 an. Ich bekam auch die o.g. Mails und loggte mich in meinen Account ein. Direkt begrüßte mich die Meldung, dass meine eMail-Adresse noch nicht bestätigt sei. Allerdings wollte ich ja genau das nicht tun, sondern einfach eine Anzeige erstellen um zu sehen ob das Betrügen so einfach ist.

eMail bestätigen

Also wählte ich die Option Inserat erstellen und wählte ein paar absurde Einstellungen aus. Ich konnte auf “Inserat veröffentlichen” klicken und mir wurde versichert, dass es tatsächlich in Kürze online ginge.

Inserat veröffentlichen

Allerdings gabs auch die Meldung, dass das Inserat überprüft würde, und ich befürchtete, dass mich da ein schlauer Algorithmus irgendwie rausfiltert.

Inserat prüfen

Aber nichts dergleichen, mein Inserat wurde tatsächlich direkt freigeschaltet:

Inserat veröffentlicht

Anscheinend gibt es überhaupt keine Überprüfung sondern nur eine kurze Verzögerung, die den Eindruck von Sicherheit erwecken soll. Wieso sollte sonst ein Audi A4 für 300.000 Euro nicht auffallen? Zudem hatte ich nichtmal ein Bild eingefügt.

Anzeige

Zwar erkannte die Preisbewertung meine absurde Preisvorstellung, aber das tat dem Freischalten keinen Abbruch.

Beschreibung

Lustigerweise führe auch meine sehr eingeschränkte Beschreibung des Fahrzeugs, die einfach “mac&egg Test” lautete, zu keinen Problemen.

Blödsinnstext

In der Anzeigenübersicht wurde zwar immer noch auf die nicht bestätigte eMail Adresse hingewiesen, aber eine Funktionseinschränkung ist damit anscheinend nicht verbunden.

Screen Shot 2017 05 26 at 12.47.56

Ich habe dann aus Freundlichkeit und Neugier dann mal einen Autohändler angerufen, der sich auf das erste Fake Inserat unter meiner nicht mehr genutzen Mail Adresse gemeldet hatte. Er war sehr denkbar, hatte aber tatsächlich auch keine Anzeichen um erkennen zu können, dass es eine Betrugsanzeige war. Allerdings war er auch nicht wirklich überrascht und meinte es sei kein Einzelfall.

Erklärt Euch nicht zu Anzahlungen bereit, Ihr wisst gar nicht, ob der Wagen überhaupt existiert!

Was könnt Ihr nun daraus lernen? Jedermann kann mit irgendeiner Mailadresse auf AutoScout24 Fahrzeuge selbst mit absurden Daten zum Kauf anbieten. Eine Bestätigung der eMail Adresse ist nicht nötig, ebensowenig wird die Anzeige auf Plausibilität überprüft. Das ist absurd, muss man doch bei jedem mir bekannten Konto eines Internetdienstes erstmal bestätigen, dass man zumindest Besitzer der eMail Adresse ist. Weiterhin könnt Ihr einfach bei AutoScout24 anrufen und behaupten, dass Ihr Inhaber einer gewissen eMail Adresse seid und sie löschen direkt die zugeordneten Angebote.

Passt also extrem auf, falls Ihr Euch auf der genannten Plattform für ein Fahrzeug interessiert. Leistet auf keinen Fall irgendwelche Anzahlungen oder sonstige Vorausszahlungen. Gebt auch keine anderen Daten wie beispielsweise Kontonummern von Euch raus. So einfach wie es aktuell ist, auf AutoScout24 Anzeigen unter anderer Leute eMail Adresse einzustellen solltet Ihr immer darauf gefasst sein auf einen Betrüger zu treffen. Setzt also den gesunden Menschenverstand ein, trefft Euch persönlich und guckt erstmal ob das Auto überhaupt existiert.

Weiterhin möchte ich hier nochmal auf den beliebten PayPal-Betrug hinweisen, der auch bei Autos Anwendung findet.

Close