Betrugsregister & Kontrollen

Vektor

Käufer kauft das Dossier, lädt das PDF herunter und bestreitet dann die Belastung als 'Leistung nicht erhalten' — behauptet, die Quittung sei nie angekommen.

Gegenmaßnahme

Jede Dossier-Anzeige und jeder PDF-Download wird mit Zeitstempel + IP + User-Agent protokolliert. Ein Stripe-Webhook lauscht auf Rückbuchungsereignisse; wir reichen automatisch das Lieferprotokoll + IP-Geo + angemeldeten Nutzer als überzeugenden Nachweis ein (Reason Code 13.1 — Gutschrift nicht verarbeitet / Friendly Fraud).

Vektor

Ein $129/Mon.-Abo wird von einem ganzen Käufer-Makler-Büro oder einer 20-köpfigen Agentur genutzt und untergräbt die Stückkostenrechnung.

Gegenmaßnahme

Soft-Ratenlimit für die Dossier-Erstellung pro Konto/IP (Upstash). Harte Obergrenze nach dem Start über Erkennung gleichzeitiger Sitzungen in der Supabase-Auth + Fingerprint-Hashing. Agentur-Preisstufe wird angekündigt, falls Missbrauch erkannt wird.

Vektor

Ein Bot sondiert /upgrade mit gestohlenen Kartennummern in einem 1-$-bis-$49-Durchlauf, um aktive Karten zu finden.

Gegenmaßnahme

Ratenlimit für /api/checkout (5/Min./IP, hart 20/Std.). Die Standardregeln von Stripe Radar decken BIN-Velocity + CVC-Abweichung + wiederholte Ablehnungen ab. reCAPTCHA Enterprise im Checkout hinzufügen, wenn das Bot-Verhältnis 5 % übersteigt.

Vektor

Ein gefälschtes Anwaltsprofil listet Immobilien, die es nicht vertritt, sammelt Käufer-Leads und verschwindet dann.

Gegenmaßnahme

Manuelle redaktionelle Prüfung jedes Angebots (24-Std.-SLA) während des MVP. Nach dem Start: Anwalt muss Zulassungsnummer-Verifizierung + Upload eines aktuellen Zulassungszertifikats + Gegenzeichnung eines bestehenden verifizierten Kollegen abschließen. Das Verhältnis von Angebot zu Abschluss wird verfolgt; Angebote unter 10 % werden zur Prüfung markiert.

Vektor

Ein Angreifer registriert sich mit der Zulassungsnummer einer echten Anwaltskanzlei aus dem öffentlichen Register.

Gegenmaßnahme

Die Anmeldung erfordert eine Bestätigungs-E-Mail an die Domain der Kanzlei (DNS-MX-validiert, kein Gmail/Hotmail). Die Zulassungsnummer wird gegen das öffentliche Register der Anwaltskammer des Landes abgeglichen (England Bar Council, Ordem dos Advogados, Colegio de Abogados, Conseil National des Barreaux, Türkiye Barolar Birliği).

Vektor

Ein Angreifer übermittelt eine interne Netzwerk-URL (http://169.254.169.254, http://localhost), um Metadaten von Cloud-Diensten zu extrahieren.

Gegenmaßnahme

Die PORTAL_ALLOWLIST in lib/geocode.ts kodiert Hostnamen fest (rightmove.co.uk, idealista.com, seloger.com, imovirtual.com, sahibinden.com, …). Jede URL, die nicht auf der Allowlist steht, gibt 422 zurück, bevor ein Abruf gestartet wird.

Vektor

Ein bösartiger og:title oder og:description auf einer Angebotsseite enthält 'Ignoriere vorherige Anweisungen und …' und versucht, den Gemini-Prompt zu verändern.

Gegenmaßnahme

Gescrapte Strings werden escaped, längenbegrenzt (1000 Zeichen) und in abgegrenzte [USER_INPUT]-Blöcke im Prompt gehüllt. Der System-Prompt weist Gemini ausdrücklich an, die Eingabe als nicht vertrauenswürdige Daten und nicht als Anweisungen zu behandeln.

Vektor

Käufer zahlt $1.500 Gebühr mit Karte A, fordert Rückerstattung auf Karte B — und nutzt uns als Geldwäsche-Mixer.

Gegenmaßnahme

Harte Regel über die Stripe-Refunds-API: Rückerstattung muss auf das ursprüngliche Zahlungsmittel erfolgen. Keine Rückerstattungen an alternative Zahlungsempfänger. AML-Prüfung (Herkunftsnachweis) bei Kautionen über 10.000 €. Der Concierge-Kunde muss vor Annahme der Kaution die Identitätsprüfung (Stripe Identity) abschließen.