Phisher konnten eBay-Lücke nutzen

In der Software des weltgrößten Internet-Auktionshauses eBay hat es eine gefährliche Sicherheitslücke gegeben. Inzwischen sind laut eBay weltweit die Server des Internet-Auktionshauses gefixt worden, um die Lücke zu beseitigen.

Über die Schwachstelle konnten Angreifer einen täuschend echten eBay-Link kreieren, der auf eine gefälschte Phishing-Seite im eBay-Look führte. Auf den Abzockseiten der Phisher soll dann wie gewohnt versucht worden sei, vertrauliche Daten wie Passwörter oder Kreditkartennummern abzufragen.

Die Phishing-Plage ist damit um eine Facette reicher, die zu Lasten des Site-Betreibers geht. Üblicherweise versuchen die Daten-Abfischer, ihre gefälschten Seiten hinter URLs mit Buchstabendrehern oder ähnlich wirkenden Adressen zu verbergen (nach dem Muster deutsche-bnk.info statt deutsche-bank.de). Auch das Verwenden von internationalen Domains, die der Original-URL nach der Namensauflösung (IDN-Schwachstelle) in den Browsern ähnlich sehen, zählt zu den Tricks.

Bei der aktuellen eBay-Attacke wurde anscheinend ein Redirect-Programm auf den eBay-Servern genutzt. Der so gefälschte Link wirkte dann wie eine valide eBay-Adresse. Gegenüber tecCHANNEL bestätigte eine eBay-Sprecherin die Sicherheitslücke. Das Problem, das alle eBay-Internet-Auftritte betraf, sei jedoch bereits gelöst, sagte die Sprecherin. Nähere Details wurden nicht genannt.

eBay gehört neben Geldinstituten zu den bevorzugten Angriffszielen der Phisher. Die entsprechenden Attacken auf das Auktionshaus sind nach Angaben eines eBay-Sprechers in den vergangenen Jahren förmlich explodiert. Microsoft, eBay, Visa und WholeSecurity haben aus diesem Grund ein Phishing Report Netzwerk gegründet, wir berichteten. (fba/uba)

Die wichtigsten Aspekte zum Thema Sicherheit finden Sie auf über 230 Seiten in unserem tecCHANNEL-Compact "IT-Security", das Sie online zum Vorzugspreis von 8,90 Euro bestellen oder für 4,90 Euro als PDF downloaden können. In unserem Premium-Bereich gibt es diese und weitere tecCHANNEL-Compact-Ausgaben kostenlos zum Download.

tecCHANNEL Buch-Shop

Literatur zum Thema Client Server

Titelauswahl

Titel von Pearson Education

Bücher

PDF-Titel (50 % billiger als Buch)

Downloads