{"id":318868,"date":"2025-12-02T00:04:58","date_gmt":"2025-12-01T23:04:58","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=318868"},"modified":"2025-12-02T11:19:42","modified_gmt":"2025-12-02T10:19:42","slug":"risiko-minimierung-will-ebay-bei-euch-zugriff-auf-bankkonto","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/12\/02\/risiko-minimierung-will-ebay-bei-euch-zugriff-auf-bankkonto\/","title":{"rendered":"Risiko-Minimierung? Will eBay bei euch Zugriff auf Bankkonto?"},"content":{"rendered":"

\"\"Frage in die Runde der Blog-Leser, die in letzter Zeit bei eBay etwas bestellt oder sogar verkauft haben. Gab es von der Plattform den Versuch, Zugriff auf das Bankkonto, von dem Zahlungen geleistet werden oder auf das die Zahlungen gehen sollen, zu erhalten, wom\u00f6glich, um das Risiko f\u00fcr Ausf\u00e4lle zu minimieren.<\/p>\n

<\/p>\n

\"\"Pers\u00f6nlich bestelle ich recht wenig online und schon l\u00e4nger nicht bei eBay – wobei dort dann ggf. PayPal als Zahlungsquelle angegeben wird. Aber ich habe k\u00fcrzlich auch da mein D\u00e9j\u00e0-vu erlebt, als ich bei einem H\u00e4ndler drei Kanister mit je 5 Liter Bio-Oliven\u00f6l ordern wollte. eBay lie\u00df die Bestellung zwar zu, aber im Warenkorb ging es pl\u00f6tzlich nicht weiter. Ich brauchte etwas, bis ich den Hinweis verstand, dass nur alle 10 Tage eine Bestellung zul\u00e4ssig sei. Bezog sich da auf einen Kanister – weshalb der Anbieter und eBay schlicht raus waren. Kann aber eine Auflage gewesen sein, die der Produzent dem H\u00e4ndler gemacht hat.<\/p>\n

Ein Verkauf auf eBay<\/h2>\n

Gestern hat mich ein Leser per E-Mail kontaktiert und den folgenden Screenshot mitgeschickt.\u00a0Der Leser schrieb dazu:<\/p>\n

Das hier ist h\u00f6chst interessant! Nachdem etwas bei Ebay verkauft wurde, m\u00f6chte Ebay meine Login-Daten…<\/p>\n

Da fehlen einem die Worte. War es nicht Ebay, wo es ein Datenleck gab?<\/p>\n

Es ist nicht genau erkenntlich, wohin die Login-Daten gehen.<\/p><\/blockquote>\n

Im Screenshot ist zu erkennen, dass ein\u00a0riskremedyweb-<\/em>Dienst (vom Namen her zur Beurteilung oder Minimierung des Risikos) f\u00fcr diesen Nutzer \u00fcber die URL von eBay aufgerufen wird.<\/p>\n

\"eBay<\/p>\n

Weiterhin zeigt die eBay-Seite ein Popup, \u00fcber dessen Felder der Nutzer sich bei seiner Bank mit den Zugangsdaten f\u00fcr das Online-Banking anmelden soll. H\u00e4tte das f\u00fcr Phishing gehalten.<\/p>\n

Leider hat der Nutzer keine weiteren Informationen angegeben.\u00a0Auf Nachfrage schrieb der Leser aber: \"Ich habe etwas auf Ebay verkauft (seit langem mal wieder). Dann kam die Email mit einem Link. Ich habe den Verkauf nat\u00fcrlich abgebrochen, aber nun nervt Ebay immer noch (Aber es gab mir die Gelegenheit f\u00fcr den Screenshot).\"<\/p>\n

Anhand der Informationen im Screenshot l\u00e4sst sich einiges erraten. Die\u00a0Eingabemaske zeigt, dass die Zugangsdaten f\u00fcr ein Bankkonto angefordert werden. Wer diese Daten hat, kann den Inhalt des Bankkontos samt Transaktionen auswerten (aber keine eigenen Transaktionen vornehmen – die muss der Nutzer ja per TAN freigeben).<\/p>\n

Was dahinter stecken k\u00f6nnte<\/h2>\n

Wenn mal \"billiges Phishing\" ausschlie\u00dft (bin immer noch unsicher), was w\u00e4re der Sinn. Das K\u00fcrzel \"riskremedy<\/em>\" <\/em>steht f\u00fcr Risiko-Minimierung. Durch Analyse der Transaktionen (also Einnahmen und Ausnahmen) soll m\u00f6glicherweise (so meine Vermutung) die Bonit\u00e4t\u00a0 des Konteninhabers bewertet werden. Macht bei einem Verk\u00e4ufer keinen Sinn, es sei denn, man m\u00f6chte sicherstellen, dass das Zielkonto keinem Betr\u00fcger geh\u00f6rt (dann w\u00e4re der Ansatz, die Identit\u00e4t eines Verk\u00e4ufers zu gew\u00e4hrleisten denkbar). Diesen Ansatz der Risiko- bzw. Bonit\u00e4tsbewertung versuchte die Schufa mit \"Schufa Check Now\" schon mal, ist aber gescheitert (siehe Schufa: Aus f\u00fcr Check Now; Verkauf an Finanzinvestor?<\/a>).<\/p>\n

Trustly: Pay by Bank-L\u00f6sung<\/h3>\n

In obigem Fall habe ich den Namen \"Trustly\" im Fu\u00dfbereich des Formulars gesehen und mal nachgeschaut. Der Dienst will den Zugriff auf das Bankkonto. Der Anbieter Trustly<\/a> wirbt bei H\u00e4ndlern mit:<\/p>\n

Intelligentes Wachstum mit smarteren Zahlungen<\/strong><\/p>\n

Steigern Sie Ihre Conversion, senken Sie Betrugsraten und bieten Sie ein wirklich \u00fcberzeugendes Zahlungserlebnis \u2013 mit den intelligentesten und sofortigen Pay by Bank-L\u00f6sungen der Branche.<\/p><\/blockquote>\n

Ansatz von Trustly ist es, dass der H\u00e4ndler die Zahlung als \"Pay per Bank\" \u00fcber den Anbieter abwickelt. Der H\u00e4ndler erh\u00e4lt dabei nur das Geld, nicht jedoch die Bankdaten des Kunden. Der Kunde bekommt die Bankdaten des H\u00e4ndlers vorausgef\u00fcllt in einem Formular und muss die Transaktion per Banking-App oder eID best\u00e4tigen. Der H\u00e4ndler bekommt sein Geld \u00fcber Trustly.<\/p>\n

In obigem Screenshot sieht es nun so aus, dass Trustly den Zugriff auf das Bankkonto will und daher dessen Zugangsdaten abfragt. Die Bankinstitute m\u00fcssen dies seit 2019, auf Druck der EU PSD 2-Richtlinie, f\u00fcr Drittanwender anbieten. Aber w\u00fcrdet ihr einem fremden Anbieter den Zugriff auf das eigene Bankkonto \u00fcber die eigenen Zugangsdaten gew\u00e4hren?<\/p>\n

Blindflug bei der Eingabe?<\/h3>\n

So ganz spontan sind mit im Nachgang noch mehrere Punkte durch den Kopf gegangen. Um Phishing auszuschlie\u00dfen, m\u00fcsste man \u00fcber die Adressleiste des Browsers pr\u00fcfen, ob das SSL-Zertifikat f\u00fcr die https-Adresse wirklich eBay als Besitzer ausweist. Aber dann w\u00e4re immer noch nicht sicher ausgeschlossen, dass das Popup nicht durch irgend eine b\u00f6swillige JavaScript-Injection eingeblendet wird und Fake ist. Ich kann nicht \u00fcberpr\u00fcfen, ob das Popup von Trustly stammt – so jedenfalls mein Eindruck, basierend auf dem Screenshot.<\/p>\n

Erg\u00e4nzung: <\/strong>Einen plumpen Phishing-Versuch schlie\u00dfe ich inzwischen aus. Die im Screenshot gezeigte URL ist auf Virustotal auch als clean angegeben. In der eBay-Community findet sich in diesem Post<\/a> eine \u00e4hnliche Anfrage von Ende November 2025.\u00a0 Und Trustly<\/a> ist ein zugelassener Zahlungsdienstleister.<\/p>\n

Warnung der Verbraucherzentrale<\/h3>\n

Abseits der Frage, ob das alles Fake ist: Die Verbraucherzentrale weist hier<\/a> darauf hin, dass da enormes Missbrauchspotential \u00fcber den Ansatz der Gew\u00e4hrung des Zugriffs auf ein Konto besteht. Ich habe in den Anfangstagen der PSD 2-Implementierung gelesen, dass es einfach keine Option zum Beenden des Zugriffs gab. Auch in obiger Konstellation ist nicht ganz klar, was dieser Zugriff f\u00fcr Rechte beinhaltet und wie lange der Zugriff dauert.<\/p>\n

Stichw\u00f6rter: Zugriff alleine f\u00fcr die Transaktion, oder doch f\u00fcr 90 Tage. Mit den Zugangsdaten k\u00f6nnte der Dienst beispielsweise alle Kontenbewegungen der letzten drei Monate sehen – f\u00fcr l\u00e4ngere Intervalle ist bei der Sparkasse meines Wissens eine TAN-Freigabe erforderlich.<\/p>\n

Meine Fragen: Ist das jemandem aus der Leserschaft auch schon mal angezeigt worden? Gibt es eine Erkl\u00e4rung f\u00fcr den obigen Ansatz? Oder ist das doch Phishing? Mir liegt der Link leider nicht vor, so dass ich keine Zertifikate der Seite \u00fcberpr\u00fcfen k\u00f6nnte.<\/p>\n","protected":false},"excerpt":{"rendered":"

Frage in die Runde der Blog-Leser, die in letzter Zeit bei eBay etwas bestellt oder sogar verkauft haben. Gab es von der Plattform den Versuch, Zugriff auf das Bankkonto, von dem Zahlungen geleistet werden oder auf das die Zahlungen gehen … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-318868","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/318868","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=318868"}],"version-history":[{"count":8,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/318868\/revisions"}],"predecessor-version":[{"id":318902,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/318868\/revisions\/318902"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=318868"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=318868"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=318868"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}