Zu Im Grunde sind es ja keine richtigen Fakebestellungen. Es wurde ja alles bezahlt... Ich frage mich was da hinter steckt. Das Geld ist/war ja auf meinem Konto, was hat ein Hacker davon?
Ich hab jetzt ein super einfaches und effektives Modul geschrieben. No Spam Accounts! ist fertig. Besucher merken davon rein gar nichts. Bots kommen nicht mehr durch. Interesse? 50€+ Ust + Installation und / oder Anpassungen auf Wunsch. Getestet erst mal nur unter 4.8.0.3 - aber sollte auch noch unter 5.0.1.1 laufen. https://ff-webdesigner.com
Da wir nicht nur Gambio sondern auch Wordpress Shops haben, wären wir sofort dabei. Interesse bekundet.
altcha einbauen ist aufgrund dessen komplexizität was grösseres. aber: ich habe jetzt ein fertiges modul für gambio. aktuell teste ich in 4.8.0.3. honeypot und neuer security token im formular. beim bearbeiten des formulars wird vor anlegen des kunden gecheckt ob honeypot nicht ausgefüllt wurde und der security token stimmt. teste ich noch ein zwei tage dann gibts das ding für 50€ pro shop zu kaufen.
Soweit ich es sehe kommen die Spammer nicht über das Formular. Auch wenn man Gastkonten im Adminbereich deaktiviert hat legen die ihre Konten an. Wer mit FTP umgehen kann für den habe ich eine einfache Lösung. Das hilft genausogut wie bei dem bekannten Sicherheitsproblem mit dem Parcelshopfinder. Getestet und für gut befunden ab Shopversion v4.5.1.1 aufwärts Man öffne die shop.php und erweitert diese um eine zusätzliche Abfrage mit CreateGuest. Code: <?php /* -------------------------------------------------------------- shop.php 2015-05-21 gm Gambio GmbH http://www.gambio.de Copyright (c) 2015 Gambio GmbH Released under the GNU General Public License (Version 2) [http://www.gnu.org/licenses/gpl-2.0.html] -------------------------------------------------------------- */ require_once('includes/application_top_main.php'); if (isset($_GET['do']) && preg_match('/^Parcelshopfinder/i', $_GET['do'])) { http_response_code(403); exit("Zugriff auf Parcelshopfinder nicht erlaubt."); } if (isset($_GET['do']) && preg_match('/^CreateGuest/i', $_GET['do'])) { http_response_code(403); exit("Zugriff auf Gastshop nicht erlaubt."); } // includes classes and functions are needed for frontend output include_once DIR_FS_CATALOG . 'gm/inc/gm_get_privacy_link.inc.php'; if(!isset($GLOBALS['breadcrumb'])) { $GLOBALS['breadcrumb'] = new breadcrumb(); } include_once DIR_FS_CATALOG . 'includes/classes/boxes.php'; if(!isset($GLOBALS['messageStack'])) { $GLOBALS['messageStack'] = new messageStack(); } $httpService = StaticGXCoreLoader::getService('Http'); $httpContext = $httpService->getHttpContext(); $httpService->handle($httpContext); Dadurch gehen die Registrierungsversuche der Spammer über POST /shop.php?do=CreateGuest ins Leere. Normale Gast-Registrierungen über das Shop-Formular gehen immer noch. Die kommen über POST /shop.php?do=CreateRegistree In diesem Formular werden sowohl Gastkonten als auch Kundenkonten behandelt.
Bei mir werden Gast-Konten minütlich gelöscht, daher weiß ich das nicht. Betrugsbestellungen hatte ich aber vor ein paar Monaten aus Italien (mit PayPal), da half nur eine Deaktivierung des Landes bzw. kein Versand in betreffendes Land, nach Aktivierung kommen nach ein paar Tagen wieder solche Betrugsbestellungen.
Eine Frage hätte ich da, wenn eine Betrugsbestellung gemacht wurde und dann auch mit Paypal bezahlt wurde. Wo liegt da der Sinn bzw. wie funktioniert das denn. Dann wurde ja bereits Geld per Paypal überwiesen und es ist somit (also das Geld) bereits beim Händler? Was hat der Betrüger davon, bzw. was hat der Betrüger davon?
Indem man wirklich verschicken soll und die Bestellung wird dann, wo auch immer, abgefangen - natürlich im Ausland.
So nun sind wir auch betroffen. Aber vollkommener Quatsch eigentlich, denn es sind eben nicht nur die Adressdaten, sondern auch die richtigen Mail-Adressen bei uns verwendet worden. Die Kunden bekommen eine Bestellbestätigung und schreiben uns dann an, das die nix bestellt hätten. Alles Bestellungen unter 30 Euro und Sonderposten, sodass mir nicht klar ist, was derjenige, der das verzapft, davon hätte. Wir lassen die letzte Bestellung gerade mal laufen, mal sehen, ob die an der Adresse ankommt. Die Lücke ist bei PayPal, denn die Betroffene hat gar kein PayPal-Konto und das Problem ist PayPal hinreichend bekannt. Wir werden nun Bestellungen, die mit PayPal bezahlt wurden, immer einen Tag länger liegen lassen und geben den "echten Kunden" einen entsprechenden Hinweis. Als wenn man nicht schon genug zu tun hätte
Dazu brauchste kein PayPal-Konto.....Die Iban-Nr. vom Kundenkonto bei der Bank reicht um damit über PayPal eine Gastbestellung zu tätigen und zu bezahlen. PayPal zieht das Geld dann per Lastschrift vom Konto über die genannte Iban-Nummer ein.. eine Kontrolle findet scheinbar nicht wirklich statt......Es dauert also bis der Betroffene die unrechtmäßige PayPal Lastschrift entdeckt.....
Kurzes Update: / Bericht : "profender-shocks.com" (PostNr # 3) Rat die Einstellungen zu aktivieren, hat bei mir scheinbar geholfen!! Seit Samstag habe ich keinen neuen Fake Account Anmeldung mehr erhalten . Captcha wird bei Anmeldung angezeigt und normale Anmeldungen funtktionieren! Wenn es also so bleibt, war das ein SUPER Tip von "profender-shocks.com" DANKE viele Grüße Matthias Simon www.airmodel.de Gambio: GX 4.9.4.2
Dieses Problem hatte ich in 2024 auch. Hunderte von Bestellungen. Alle wurden mit Paypal Gastkonten bezahlt. Die ersten paar Bestellungen sind mir leider durchgegangen und wurden versendet. Manche der geschädigten Kunden haben sich telefonisch gemeldet oder einen Fall bei Paypal aufgemacht. Ich hatte damals auch bei der Polizei eine Anzeige erstattet, da alles für mich ein extremer Mehraufwand war. Jede Bestellung prüfen ob die Email-Adresse des erstellten Gastkontos im Shop mit der Email-Adresse des Paypal-Zahlers übereinstimmt. Zahlungen erstatten. Die Kontobewegungen auf meinem Paypal-Konto verbuchen .... Irgend wann habe ich dann den Shop überwacht und jede Bestellung gleich geprüft und bei Fake-Verdacht gleich storniert. Dann war irgend wann eine zeitlang ruhe. Bis es wieder angefangen hat, mit ein paar einzelnen Bestellungen. In 2025 hatte ich dann entlich wieder meine Ruhe.
Das ist sicher alles nervig, aber wenn du jetzt wie ich, in Österreich die Gebühren nicht mehr erstattet bekommst, wird es nicht nur ein Aufwand, sondern auch schnell geschäftsschädigend und ruinös. Da kannst du dann nach 1 Jahr zusperren, wenn du tausende Euro an PayPal-Gebühren nicht mehr erstattet bekommst. Bei uns ist das Problem Italien, da kommen dann laufend Betrugsbestellungen rein, für Artikel die 300 Euro und mehr kosten, ohne Deaktivierung vom Land, ging nichts mehr.
Bei uns ging der Spuk auch am 16.01.2026 los, wir haben jetzt alle Fake Konten gelöscht, und die ReCaptcha V2 aktiviert. Mal schauen, ob es hilft
recaptcha v2 können "fortschrittliche" spammer umgehen. bringt nix mehr. v3 wird gambio zurecht aus datenschutzgründen nicht einbauen, das wäre dicht. lösung: mein modul "no-spam-accounts". rein intern, keine cookies, super zuverlässige ausfilterung spam accounts inclusive logs.