Phisher konnten eBay-Lücke nutzen
Über die Schwachstelle konnten Angreifer einen täuschend echten eBay-Link kreieren, der auf eine gefälschte Phishing-Seite im eBay-Look führte. Auf den Abzockseiten der Phisher soll dann wie gewohnt versucht worden sei, vertrauliche Daten wie Passwörter oder Kreditkartennummern abzufragen.
Die Phishing-Plage ist damit um eine Facette reicher, die zu Lasten des Site-Betreibers geht. Üblicherweise versuchen die Daten-Abfischer, ihre gefälschten Seiten hinter URLs mit Buchstabendrehern oder ähnlich wirkenden Adressen zu verbergen (nach dem Muster deutsche-bnk.info statt deutsche-bank.de). Auch das Verwenden von internationalen Domains, die der Original-URL nach der Namensauflösung (IDN-Schwachstelle) in den Browsern ähnlich sehen, zählt zu den Tricks.
Bei der aktuellen eBay-Attacke wurde anscheinend ein Redirect-Programm auf den eBay-Servern genutzt. Der so gefälschte Link wirkte dann wie eine valide eBay-Adresse. Gegenüber tecCHANNEL bestätigte eine eBay-Sprecherin die Sicherheitslücke. Das Problem, das alle eBay-Internet-Auftritte betraf, sei jedoch bereits gelöst, sagte die Sprecherin. Nähere Details wurden nicht genannt.
eBay gehört neben Geldinstituten zu den bevorzugten Angriffszielen der Phisher. Die entsprechenden Attacken auf das Auktionshaus sind nach Angaben eines eBay-Sprechers in den vergangenen Jahren förmlich explodiert. Microsoft, eBay, Visa und WholeSecurity haben aus diesem Grund ein Phishing Report Netzwerk gegründet, wir berichteten. (fba/uba)
Die wichtigsten Aspekte zum Thema Sicherheit finden Sie auf über 230 Seiten in unserem tecCHANNEL-Compact "IT-Security", das Sie online zum Vorzugspreis von 8,90 Euro bestellen oder für 4,90 Euro als PDF downloaden können. In unserem Premium-Bereich gibt es diese und weitere tecCHANNEL-Compact-Ausgaben kostenlos zum Download.
tecCHANNEL Buch-Shop |
|
---|---|
Literatur zum Thema Client Server |
Titelauswahl |
Titel von Pearson Education |
|
PDF-Titel (50 % billiger als Buch) |