g2play - Betrugsmasche nach Kauf?

[Rabowke]

Moin,

durch einen Hinweis von unserem sauboi hab ich mir, entgegen meiner sonstigen Gewohnheiten, einen reinen CD Key von The Bureau: XCOM Declassified für 1,00 EUR bei g2play gekauft.

g2play erfordert entweder ein eigenes Nutzerkonto oder erlaubt den Log In per Facebook. Ich hab den Log In per Facebook gewählt.

Ich hab per Kreditkarte gezahlt, alle Daten eingegeben und wurde sogar von meiner Hausbank per mTan über die Visa Transaktion informiert und musste in einem separaten Fenster die mTan eingeben um den Kauf zu verifizieren.

Transaktion war erfolgreich und ich hab in meinem g2play Account den CD Key gefunden, bei Steam eingeben und auch dieser wurde bestätigt, ich hab das Spiel aktiviert und bereits installiert.

Heute hab ich in meinem GMail Trash Ordner folgenden E-Mail gefunden:

Sehr geehrter Herr < Name entsprechend Facebook Account > ,

während der Zahlungabwicklung und nach der anschließenden Zustellung  Ihres CD-Schlüssels kam es auf der Seite       unseres Abbuchungsservice  zu einer nachträglichen Blockierung Ihrer Kreditkartenzahlung. 
Wir müssen Sie daher darum bitten, uns, Ihre Abrechnungsdaten erneut zukommen zu lassen.
Folgende Produkt(e) haben Sie von uns bereits erhalten:   
 [TABLE="width: 688"]
[TR]
[TD="width: 218"]Produkt[/TD]
[TD="width: 284"][/TD]
[TD="width: 172"]Anzahl[/TD]
[/TR]
[TR]
[TD]The Bureau: XCOM Declassified Steam Key[/TD]
[TD][/TD]
[TD]1[/TD]
[/TR]
[TR]
[TD][/TD]
[TD][/TD]
[TD][/TD]
[/TR]
[/TABLE]
 
Bitte verifizieren Sie Ihre Abbuchungsoption bis zum 15.07.2014,  andernfalls wird es zu einer nachträglichen Sperrung Ihrer bereits  erhaltenen CD-Schlüssels kommen.
Wir bitten Sie für diese Umstände um Ihre Verständnis.

Nutzen Sie zur erneute Eingabe bitte diesen Direkt-Link:


  See you soon

Den Link hab ich entfernt, Kasper schlägt bei dieser URL sofort wg. Betrug an. Das Datum, bis wann man zu reagieren hat, ist natürlich auch aus der Luft gegriffen.

Meine Frage lautet jetzt aber, woher haben welche Leute auch immer folgende Informationen:

- meinen exakten Facebook Namen, der von meinem realen Namen etwas variiert
- meine GMail Adresse die ich nur selektiv nutze bzw. für Facebook
- das von mir gekaufte Spiel
- die von mir gewählte Zahlungsart (Kreditkarte)

Ich hab schon bei Facebook geschaut, hier habe ich übrigens eine zwei Wege Authentifizierung und g2play hat, logischerweise, nichts in meinem Namen gepostet.

Also woher weiß, wer auch immer diese E-Mail geschickt hat, etwas von meinem Kauf bei g2play? Woher stammt der exakte Facebook Name? Woher weiß jemand von meinem gekauften Spiel?

Ich hab heute Morgen bereits auf meine Visa Abrechnung geschaut, die Kreditkarte wurde ordnungsgemäß belastet und ich sehe die Buchung i.H.v. 1,00 EUR.

Also wo ist jetzt die Schwachstelle? Facebook? g2play? Mein GMail Account?

 

[BiJay]

Also ich denke, dass das Problem direkt bei G2Play liegt. Du kannst ja direkt bei denen mal anfragen und sie darauf hinweisen, dass du so eine Betrugsmail bekommen hast. Es könnte sein, dass sie eine Schwachstelle auf ihrer Seite haben, sodass Betrüger an Daten kommen. Facebook und GMail sind da im Allgemeinen sicherer. Man könnte auch vermuten, dass G2Play ein paar Daten weiterverkauft oder sogar selbst diese Mails verfasst. Keyseiten sind ja schon in einer Grauzone. Da wäre sowas gar nicht mal so verwunderlich.

Sicherheitshalber könntest du das Passwort von deinem Facebook und GMail Account erneuern, obwohl ich nicht denke, dass dort das Problem liegt.

 

[sauerlandboy79]

Das Spiel gab es jetzt gar für einen Euro?! Heftig.
Zu deinem Problem kann ich leider nichts sagen, da ich dort direkt angemeldet und immer per PayPal bezahlt hab. Und bisher ohne negative Erfahrungen damit gesammelt zu haben.

 

[Chemenu]

Der Mail Quelltext mir dem Header würde mich interessieren.
Evtl. kannst Du den ja anonymisieren und hier posten?

 

[Rabowke]

Hier ist der Quellcode, copy'n'paste aus Thunderbird.

Achtung: der Link zur Abzockerseite ist hier enthalten ... man sieht auf dem ersten Blick, dass dies kein 'legit link' ist!

Spoiler

Delivered-To: ...
Received: by 10.140.109.72 with SMTP id k66csp6859qgf;
        Mon, 18 Aug 2014 19:06:57 -0700 (PDT)
X-Received: by 10.194.219.193 with SMTP id pq1mr46876759wjc.5.1408414016940;
        Mon, 18 Aug 2014 19:06:56 -0700 (PDT)
Return-Path: <support@g2play.net>
Received: from mo6-p05-ob.smtp.rzone.de (mo6-p05-ob.smtp.rzone.de. [2a01:238:20a:202:5305::8])
        by mx.google.com with ESMTPS id dy2si19487018wib.104.2014.08.18.19.06.54
        for <...>
        (version=TLSv1.2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
        Mon, 18 Aug 2014 19:06:55 -0700 (PDT)
Received-SPF: softfail (google.com: domain of transitioning support@g2play.net does not designate 2a01:238:20a:202:5305::8 as permitted sender) client-ip=2a01:238:20a:202:5305::8;
Authentication-Results: mx.google.com;
       [B]spf=softfail (google.com: domain of transitioning support@g2play.net does not designate 2a01:238:20a:202:5305::8 as permitted sender[/B]) smtp.mail=support@g2play.net
X-RZG-AUTH: :OGkXYWCpbuuHyimyf0sg3W6ydzcxrD03kjYYpQrw2uEIgcba6S5cSVWDlD5pXvaXHg==
X-RZG-CLASS-ID: mo05
Received: from [192.168.108.129] ([185.17.1.188])
    by smtp.strato.de (RZmta 35.8 AUTH)
    with ESMTPSA id t05685q7J26rQmd
    (using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
    (Client did not present a certificate)
    for <...>;
    Tue, 19 Aug 2014 04:06:53 +0200 (CEST)
Message-Id: <ehtsvdVcrqtBuAfHCGwSSBnu8b1b5qeEBlX3xqOD9WCX@g2play.net>
Mime-Version: 1.0
From: G2Play Support Team <support@g2play.net>
To: "..." <...>
Subject: Sperrung Ihres CD-KEYS
Date: Tue, 19 Aug 2014 04:06:55 +0200
X-Bounce-Tracking-Info: <CUhlbnJpayBGbGllcwkJcmFib3drZXVzQGdvb2dsZW1haWwuY29tCVNwZXJydW5nIElocmVzIENELUtFWVMJMjkxCQk3CWJvdW5jZQlubwlubw==>
Content-type: text/html; charset=iso-8859-1
Content-transfer-encoding: quoted-printable

<HTML>
<body>
<table width=3D"855" height=3D"366" border=3D"0" align=3D"center" backgroun=
d=3D"http://fast2play=2Ede/media/kinguin/bkg_body=2Ejpg">
<tr>
<td width=3D"2650" height=3D"362"><table height=3D"69" align=3D"center" bor=
der=3D"0" width=3D"534">
<tbody>
<tr>
<td width=3D"165"><img src=3D"http://buchhaltung-f2p=2Ebplaced=2Enet/1_logo=
=2Epng" alt=3D"" width=3D"165" height=3D"51" /></td>
<td width=3D"187"><img src=3D"http://buchhaltung-f2p=2Ebplaced=2Enet/logo=
=2Epng" alt=3D"" width=3D"165" height=3D"51" /></td>
<td width=3D"325"><img src=3D"http://buchhaltung-f2p=2Ebplaced=2Enet/kingui=
n_logo=2Epng" alt=3D"" width=3D"165" height=3D"51" /></td>
</tr>
</tbody>
</table>
<table width=3D"850" height=3D"158" border=3D"0">
<tr>
<td width=3D"91"> </td>
<td width=3D"710"><p><br>
Sehr geehrter Herr ... ,<br>
<br>
w=E4hrend der Zahlungabwicklung und nach der anschlie=DFenden Zustellung Ih=
res CD-Schl=FCssels kam es auf der Seite       unseres Abbuchungsservice zu=
 einer nachtr=E4glichen Blockierung Ihrer Kreditkartenzahlung=2E
<br>
Wir m=FCssen Sie daher darum bitten, uns, Ihre Abrechnungsdaten erneut zuko=
mmen zu lassen=2E<br>
Folgende Produkt(e) haben Sie von uns bereits erhalten:
</p>
<p> </p>
<table width=3D"688" height=3D"93" border=3D"0">
<tr>
<td width=3D"218">Produkt</td>
<td width=3D"284"> </td>
<td width=3D"172">Anzahl</td>
</tr>
<tr>
<td>The Bureau: XCOM Declassified Steam Key</td>
<td> </td>
<td>1</td>
</tr>
<tr>
<td> </td>
<td> </td>
<td> </td>
</tr>
</table>
<br />
Bitte verifizieren Sie Ihre Abbuchungsoption bis zum 15=2E07=2E2014, andern=
falls wird es zu einer nachtr=E4glichen Sperrung Ihrer bereits erhaltenen C=
D-Schl=FCssels kommen=2E<br>
Wir bitten Sie f=FCr diese Umst=E4nde um Ihre Verst=E4ndnis=2E<br>
<br>
Nutzen Sie zur erneute Eingabe bitte diesen Direkt-Link:<br />
<p style=3D"border:1px solid #E0E0E0; font-size:12px; line-height:16px; mar=
gin:0 0 16px 0; padding:13px 18px; background:#f9f9f9;"><a href=3D"http://p=
aygate-543=2Eddns=2Enet">http://paygate-543=2Eddns=2Enet</a></p>
 See you soon
<p> </p>
<p> </p>
<p> </p></td>
<td width=3D"35"> </td>
</tr>
</table>
<p> </p>
<p> </p>
<p> </p></td>
</tr>
</table>
</body>
</html>

Edit2: Markierung klappt im Code Tag nicht: man sieht ja durchaus im Header die Mitteilung, dass der Sender nicht mit der angegebenen E-Mail Adresse übereinstimmt.

Ändert aber nichts an meinem Problem, wie die Herrschaften an meinen Namen, das von mir gekaufte Spiel und die von mir verwendete Zahlungsart gekommen sind.

 

[Mothman]

Da steht noch deine Email-Adresse drin, bin mir nicht sicher, ob du die lieber rauslöschen magst?!

 

[Rabowke]

Da steht noch deine Email-Adresse drin, bin mir nicht sicher, ob du die lieber rauslöschen magst?!

Gna ... fünf mal editiert, eine übersehen. Danke für den Hinweis!

Aber davon ab, dass ist eh meine 'fake us' GMail Adresse für eben Facebook und anderen Schmarrn, meinen echten Namen kann man davon eh nicht ableiten.

 

[sauerlandboy79]

Gna ... fünf mal editiert, eine übersehen. Danke für den Hinweis!

Aber davon ab, dass ist eh meine 'fake us' GMail Adresse für eben Facebook und anderen Schmarrn, meinen echten Namen kann man davon eh nicht ableiten.

Keine Sorge, Hans-Dieter, dein Geheimnis ist bei mir bestens aufgehoben.

 

[Chemenu]

Der Header hat Lücken, aber wenn die IP Adresse stimmt kommt die Mail ursprünglich von einer russischen Spamschleuder.

https://apps.db.ripe.net/search/query.html?searchtext=185.17.1.188&bflag=true&source=RIPE
185.17.0.0/22 | 185.17.0.0 - 185.17.3.255 - Longbow Electric LLC, Russia

Ich würd das an g2play melden, wobei mir auch der Laden nicht ganz koscher vorkommt.

 

[Herbboy]

Vielleicht ist auch der Laden selbst der Bösewicht? Keys für nen Euro, also ich weiß ja nicht... aber wenn die key so billig verscherbeln, dann haben die auch sicher nicht viel Geld für Sicherheitsmaßnahmen bei ihrem "shop".

Und so oder so würde ich nie keys über solche Shops kaufen - nachher sind die sogar geklaut, und Steam sperrt dir erstmal das ganze Konto...

 

[Rabowke]

Das ist auch meine Vermutung Herb, nicht ganz ernst gemeint: vllt. ist diese Betrugsmasche die Refinanzierung der günstigen Keys!



Wie dem auch sei, die Transaktion selbst lief über einen Brooker, bei dem ich schon öfters KK Transaktionen abgewickelt hab. Da dieser direkten Draht zu meiner Hausbank hat, ich hab noch nie erlebt das ich bei meiner KK mit mTan bezahlen musste, können wir davon ausgehen, dass die Daten gesichert sind.

Mein Facebook Profil bzw. verwendete E-Mail Adresse ist unwichtig, wurde mal für Xbox Live US Account angelegt, mit einer 'echten' Identität dahinter um halt US Demos etc. spielen zu können.

Die ganze Aktion war mir eine Lehre solche Läden zu meiden, was ich ja bislang immer getan hab. Einmal und nie wieder ... aber dennoch "lustig" und ich dachte mir, vllt. interessiert es den einen oder anderen. Den Link hab ich in einer virtuellen Maschine besucht und selbst da ist der Kasper URL Filter angesprungen.

Da haben sich die Herrschaften solche Mühe geben und versagen bei dem Link, ddns ist immer suspekt und dem Datum, bis wann man zu handeln hat.

Schade, wollte den gerade noch einen EUR in den Rachen werfen!

 

[sauerlandboy79]

G2play ist im Grunde genommen ja auch wie eine Sammelstelle für Key-Angebote, d.h. es gibt zu jeden Spiel mehrere Kaufmöglichkeiten zu unterschiedlichen Preisen, und demnach von verschiedenen Quellen. Vielleicht ist Rab "nur" an einen nicht ganz sauberen Anbieter geraten.

 

[Bonkic]

g2play ist auch teil des ladens, der in großem stile humble bundle-keys aufgekauft und dann weitervertickt hat.
und the bureau gabs bekanntlich schon mal in 'nem humble bundle.
pfui.

 

[Chemenu]

Mich wundert ja eher dass ausgerechnet Rabowke, quasi der Robert Geiss dieses Forums , einen Spiele-Key für 1,- EUR kauft.

 

[OldShatterhand]

Mich wundert ja eher dass ausgerechnet Rabowke, quasi der Robert Geiss dieses Forums , einen Spiele-Key für 1,- EUR kauft.

Ja. Geiz ist schon lange nicht mehr geil. Lieber bei etablierten, vertrauenswürdigen Anbietern sein Geld lassen.

 

[Herbboy]

und vor allem auch in unserem Land die Steuern dann belassen und nicht per Import sparen sparen sparen und dann meckern, wenn es den Kommunen an Geldern für Straßen, Brücken, Kitas usw. fehlt na gut, DER eine Euro jetzt macht den Braten auch nicht fett...

 

[chbdiablo]

Zu g2play: Ich kaufe da seit vielen Jahren immer wieder mal was, teilweise sogar für Freunde und hatte bisher noch nie Probleme, weder mit g2play selbst, noch mit den CD-Keys. Im Gegenteil, die hatten mir sogar mal 15€ "geschenkt", nachdem ich den Support wegen einer Kleinigkeit angeschrieben habe.
Ich habe aber dort einen Account, d.h. nutze nicht den Facebook-Login und bezahle mit PayPal und nicht mit Kreditkarte.

 

[sauerlandboy79]

Zu g2play: Ich kaufe da seit vielen Jahren immer wieder mal was, teilweise sogar für Freunde und hatte bisher noch nie Probleme, weder mit g2play selbst, noch mit den CD-Keys. Im Gegenteil, die hatten mir sogar mal 15€ "geschenkt", nachdem ich den Support wegen einer Kleinigkeit angeschrieben habe.
Ich habe aber dort einen Account, d.h. nutze nicht den Facebook-Login und bezahle mit PayPal und nicht mit Kreditkarte.

Überhaupt...Wie kommt man auf die Idee einen Betrag von 1,-€ via Kreditkarte zu zahlen? Leistet sich der Rab selbst Extremst-Schnäppchen auf Pump?

 

[BiJay]

Überhaupt...Wie kommt man auf die Idee einen Betrag von 1,-€ via Kreditkarte zu zahlen? Leistet sich der Rab selbst Extremst-Schnäppchen auf Pump?

Naja, den Euro gegen den Bildschirm werfen würde ja nichts bringen (außer vielleicht nen Kratzer).

 

[Spassbremse]

Überhaupt...Wie kommt man auf die Idee einen Betrag von 1,-€ via Kreditkarte zu zahlen? Leistet sich der Rab selbst Extremst-Schnäppchen auf Pump?

Ich interpretiere die Smilies am Ende so, dass Du nur einen Witz machen wolltest und natürlich weißt, wie der Hase läuft, aber für alle anderen, die nicht wissen, wie eine Kreditkarte funktioniert:

Nein, man kauft natürlich *nicht* auf Kredit, der fällige Betrag wird ganz normal, wie beim Kauf mit einer EC-Karte, vom Konto abgebucht (Stichwort: "Debitkarte")

...davon abgesehen ist es doch mittlerweile ganz normal, auch Kleinstbeträge per Karte ("micropayments") abzuwickeln...