Der unabhängige Sicherheitsberater Richi Jennings hatte in seinem Mail-Postfach eine verdächtige Mail erhalten. In dieser hieß es im Betreff "Weihnachten kommt auf ebay.co.uk". Die Nachricht der Mail lotste Jennings auf die Website Ebaychristmas.net, wo er aufgefordert wurde, seinen Ebay-Namen und sein Passwort einzugeben. Außerdem sollte er auf dieser Site auch gleich seinen Kontonamen für seine Mails und das Mail-Passwort preisgeben.
Jennings war sofort klar, dass es sich um eine Phishing-Mail handeln muss. Er informierte am 25. November Ebay darüber. Vier Tage später erhielt er die Antwort, dass nach einer Untersuchung festgestellt worden sei, dass es sich um eine offizielle Mail handle, die von Ebay an ihn geschickt worden sei.
Der verblüffte Jennings antwortete umgehend und wies darauf hin, dass es sich offensichtlich um eine Betrugsmail handle. Eine Antwort auf seine Mail erhielt Jennings allerdings nicht mehr. Seinen Schriftverkehr mit Ebay veröffentlichte Jennings in seinem Blog.
Erst gegenüber unseren US-Kollegen bestätigte eine Ebay-Sprecherin, dass es sich bei der Mail um einen Betrugsversuch gehandelt habe. Eine Erklärung dafür, warum das bei Ebay zum Aufdecken solcher Betrügereien zuständige Team diese Mail nicht richtig identifizierte, hatte die Sprecherin nicht. Sie vermutete lediglich, dass es sich um einen Irrtum seitens des betreffenden Teams handeln müsste.
Jennings hat dagegen den Eindruck, dass man ihn bei Ebay nicht ernst genommen habe. "Sie haben zwar nie das Wort Idiot benutzt, aber ich fühlte mich so, als würden sie mich 'Idiot' nennen", so Jennings.
Mittlerweile ist auch bekannt, dass Ebay den Inhalt der Mail schon seit Anfang November kannte und seitdem versuchte, die dahinter steckende Website vom Netz zu nehmen. Das habe sich aber laut Angaben der Ebay-Sprecherin als schwierig erwiesen. Die Server-Software der Website sei auf mehreren PCs gehostet worden, die anscheinend von einer Bot-Software übernommen worden waren. Sobald es Ebay geschafft hatte, einen Server schließen zu lassen, übernahm ein anderer Server dessen Stelle und sorgte dafür, dass die Website weiterhin erreichbar war. Zusätzlich sei versucht worden, mit dem Registrar der Domain zusammenzuarbeiten, um die Schließung zu erreichen. Allerdings gelang diese Kooperation nicht.
Mittlerweile - genauer seit einigen Stunden - ist die betreffende Site, auf die die Empfänger der Phishing-Mail gelockt wurden, vom Netz genommen worden. Laut Angaben von Jennings hat wohl nicht der Registrar der Website die Domain geschlossen, sondern Verisign, das die .net-Adressen kontrolliert, hat dem Domainbetreiber die Site entzogen und dann selbst geschlossen.