Identitätsdiebstahl: Botnet-Angriff auf Ebay

Kriminelle versuchen offenbar mit Hilfe eines wachsenden Botnets an gültige Zugangsdaten für möglichst viele Ebay-Konten zu gelangen. Zunächst werden Rechner mit Malware verseucht, die dann jeweils einige Login-Versuche bei Ebay ausführen.

Mit Botnets lässt sich offenkundig mehr anfangen als nur Spam-Mails zu versenden oder DoS-Angriffe zu starten. Zu den Einfällen derjenigen, die ein Botnet kontrollieren, gehört nach einer Meldung des israelischen Sicherheitsunternehmens Aladdin Knowledge Systems ein verteilter Angriff auf Nutzerkonten bei Ebay. Dieser Angriff ist mehrstufig und der genaue Zweck bleibt einstweilen unklar.

Die Täter dringen zunächst über Sicherheitslücken in Datenbank-gestützten Management-Systemen (SQL-Injection) in populäre Web-Server ein. Die Web-Seiten werden dann durch Einfügen eines Iframes so manipuliert, dass sie schädlichen Code von einem anderen Server nachladen. Die Rechner der Besucher von derart präparierten Websites werden dann mit Hilfe von Exploit-Code für bekannte Browser-Schwachstellen unbemerkt mit einem Trojanischen Pferd infiziert.

Dieser Schädling verwandelt den PC mittels weiterer Malware, die er über das Internet nachlädt, in einen so genannten Zombie, also in ein fremdgesteuertes Mitglied eines Botnets. Die Zombie-Rechner probieren dann bei Ebay verschiedene Kombinationen aus Benutzername und Passwort durch. Sie greifen dazu direkt auf eine Programmierschnittstelle von Ebay zu. Jeder Rechner versucht nur ein paar Kombinationen, um nicht aufzufallen.

Mit dieser Brute Force-Attacke kann es den Botnet-Betreibern durch die große Zahl der von ihnen kontrollierten Computer gelingen, an gültige Zugangsdaten für eine gewisse Zahl von Ebay-Konten zu gelangen. Welche Zwecke sie damit verfolgen, ist noch unklar. Denkbar sind etwa Einkäufe zu Lasten der rechtmäßigen Ebay-Nutzer oder betrügerische Verkäufe nicht existierender Artikel. Auch das Plündern von Paypal-Konten kann Ziel dieser Angriffe sein.

Wie Aladdin mitteilt, laufen diese Angriffe vermutlich bereits seit August. Aladdin habe seine Erkenntnisse an Ebay gemeldet, jedoch noch keine Antwort erhalten. Zu den kompromittierten Websites, die zum Einschleusen von Malware missbraucht werden, sollen populäre Preissuchmaschinen, Maklerportale und Nutzerforen zählen - unter anderem in Israel, Italien und den USA. (PC-Welt/mja)