-
Experten haben vor möglichem Betrug beim weltgrößten Online-Auktionshaus eBay gewarnt. Mit kleinen technischen Tricks könnten Anbieter ihre Offerte unbemerkt für die Bietenden ohne großen Aufwand ändern, berichtete die Computerzeitschrift "PC Professionell". Möglich werde das durch den missbräuchlichen Einsatz bestimmter HTML-Befehle in Kombination mit Javascript, die den Artikelbeschreibungen eigentlich eine individuelle Note geben sollen.
Heimliche Änderungen
Die Programmiercodes eigneten sich jedoch auch, um unbemerkt etwa Fotos oder zusätzliche Beschreibungen von anderen Websites einzubinden, hieß es in dem Bericht. Diese könnten dort dann ohne Kontrolle durch eBay auch im Nachhinein noch unbemerkt verändert werden.
Eine Bilddatei mit einem Text wie "Einwandfreie Funktion" könne der Verkäufer nach Ablauf der Auktion gegen eine Grafik austauschen, auf der "Defektes Gerät" zu lesen sei, warnte "PC Professionell". Vor dem Bieten sollten eBay-Nutzer daher in Zweifelsfällen sicherheitshalber ein Bildschirmfoto ihrer Auktion anfertigen, raten die Experten.
eBay verbietet Javascript-Funktionen
eBay lasse externe Inhalte wie Bilder in Artikelbeschreibungen grundsätzlich zu, um den Marktplatz "so attraktiv wie möglich zu gestalten", erklärte die Sprecherin von eBay Deutschland, Maike Fuest, gegenüber der Zeitschrift. Sicherheitsmechanismen sollten allerdings helfen, eine missbräuchliche Nutzung zu verhindern. Die Verwendung bestimmter Javascript-Funktionen etwa sei bereits verboten, betonte Fuest.
Quelle : www.onlinekosten.de
-
Beim Internet-Auktionshaus eBay klafft offenbar seit mehr als einem Jahr eine gravierende Sicherheitslücke, die sich Passwortdiebe zu Nutze machen. Das berichtete der "Spiegel" unter Berufung auf einen Computerspezialisten aus Hannover. Danach machen Passwortdiebe ein attraktives Angebot, das möglichst viele Bieter anlockt. Gleichzeitig schleusen sie ein Spionageprogramm auf die Angebotsseite, das Namen und Passwort aller Bieter an die Datenschnüffler weiterleitet.
Lücke leicht auszunutzen
Diese könnten nun nach Belieben auf Kosten ihrer Opfer einkaufen oder deren Waren auf eigene Rechnung verkaufen. "Jeder halbwegs clevere Zwölfjährige könnte diesen Code auf die eBay-Seite schleusen", zitiert das Magazin den Computerexperten.
Der Hacker habe das Auktionshaus eBay nach eigenen Angaben schon vor mehr als einem Jahr über die Sicherheitslücke informiert und gegen Geld Details angeboten, berichtet der "Spiegel" weiter. Allerdings sei der Kontakt danach abgebrochen. Am Montag wollten der Hacker und das Auktionshaus demnach erneut verhandeln.
Unverständlich
Allerdings stellt sich an dieser Stelle die Frage, was bei Sicherheitslücken groß "verhandelt" werden muss. Derartige Hinweise sollte die Führungsetage des weltweit größten Auktionshauses eigentlich deutlich ernster nehmen.
Quelle : www.onlinekosten.de
-
Angeblich soll es seit über einem Jahr möglich sein, bei Ebay Benuzternamen und Passwörter auszuspähen. Von Ebay-Betrügereien hört man immer wieder. Dass sich aber "jeder halbwegs clevere 12-Jährige" Namen und Passwort von Bietern erschleichen können soll, wie es das Nachrichtenmagazin "Der Spiegel" meldet, dürfte den Verantwortlichen bei der Auktionsplattform überhaupt nicht gefallen. Mit den erschlichenen Daten könne man laut Spiegel dann auf Kosten der Opfer einkaufen oder deren Waren auf eigene Rechnung verkaufen.
Ein Hannoveraner Computerspezialist habe Ebay schon vor mehr als einem Jahr auf diese Lücke hingewiesen. Auf seinen Vorschlag, ihn für Details zu bezahlen, habe Ebay als Beweis für die Existenz des Problems 1000 Kundendatensätze gefordert. Da dies gegen das Datenschutzgesetz verstoßen hätte, soll der Hannoveraner den Kontakt abgebrochen haben. Am morgigen Montag will Ebay allerdings wieder verhandeln. Ein Sprecher von Ebay betonte gegenüber dem Spiegel jedoch, dass man den Datenschutz "sehr ernst" nähme. Einen Warnhinweis an Ebay-Nutzer scheinen die Verantwortlichen indes trotzdem für überflüssig zu halten.
Quelle : www.heise.de
-
Ganz so im Dunkeln wie zunächst angenommen, scheint eBay bei der am Wochenende bekannt gewordenen Sicherheitslücke doch nicht zu tappen -- immerhin kennt man nun die Ursache. Das Problem beruht auf der vom Auktionshaus gegenüber den Kunden eingeräumten Möglichkeit, beim Einstellen von Waren neben Texten und Bildern auch eigenes JavaScript in die Angebotsseiten einzubetten. Damit können Anbieter nicht nur ihre Seiten verschönern, sondern beispielsweise auch eBay-Logins fälschen und umleiten, um an Passwörter von Bieter zu gelangen. Im Forum zur Meldung vom gestrigen Sonntag wurden zahlreiche JavaScript-Code-Schnipsel gepostet, die die Sicherheitslücke demonstrierten.
eBay selbst gibt zu, dass das Problem lange bekannt sei, allerdings handele es sich nach Ansicht des Unternehmens um eine rein theoretische Sicherheitslücke. Dennoch will man sich heute mit Björn N., dem mutmaßlichen Entdecker der Lücke, zusammensetzen und die Möglichkeiten eines Beratungsvertrages ausloten. Der erste Kontakt vor bereits einem Jahr brach nach Angaben des Auktionshauses nach den überzogenen Forderungen von Björn N. ab. Der Computerspezialist soll eine siebenstellige Summe für die Preisgabe seines Wissen verlangt haben.
Interessant ist, dass eBay JavaScript in den Seiten von Kunden für eine theoretische Sicherheitslücke hält. Seit langem gilt unter Entwicklern und Anbietern beispielsweise Cross-Site-Scripting aufgrund fehlender Code-Filterung als Schwachstelle in Web-Servern und -Applikationen. Angreifer schleusen so JavaScript in die Browser von Opfern und führen ihn in vertrauenswürdigen Sicherheitszonen aus, um an Authentifizierungs-Cookies zu gelangen. Hier musste der Angreifer aber quasi über Bande spielen, um erfolgreich zu sein -- bei eBay bekommt er alle Werkzeuge direkt in die Hand.
eBay arbeitet mittlerweile an dem Problem. Bis dahin empfiehlt der Anbieter, die eBay-Toolbar zu benutzen, mit der sich Angriffe feststellen lassen. Alternativ können Anwender auch JavaScript im Browser abschalten.
Quelle : www.heise.de
-
eBay hat sich endlich einer lange bekannten Sicherheitslücke angenommen: Die überarbeiteten Nutzungsregeln verbieten die Nutzung zahlreicher JavaScript-Funktionen, über die sich die Benutzerdaten argloser Bieter ausspähen lassen. Noch vor einer Woche hatte eBay behauptet, keine Informationen über eine von einem Hannoveraner Computerexperten gefundene Sicherheitslücken zu haben. Nur einen Tag später räumte das Auktionshaus ein, das Problem schon länger zu kennen, bezeichnete es aber als "rein theoretische Sicherheitslücke".
Jetzt hat eBay erste Konsequenzen gezogen: Ein "überarbeiteter Grundsatz zur Verwendung von Skriptsprachen beim Anbieten von Artikeln" vom 1. Oktober verbietet zahlreiche Skript- und HTML-Funktionen. Dazu gehören das Setzen von Cookies, die Weiterleitung zu anderen Internet-Angeboten, die Einbindung externer Skripte oder Seiten per Includes oder Iframes sowie der Aufruf von Pop-ups. Verboten wird auch der automatische Download aktiver Inhalte von anderen Computern -- mit Ausnahme von Flash-Filmen. Untersagt sind des Weiteren Skripte, die den Inhalt einer Artikelbeschreibung manipulieren oder den Quellcode verschleiern.
Als Grund für die Verbote nennt eBay, sie würden "die Funktionalität" der Auktionsplattform beeinträchtigen. Angebote mit den untersagten Inhalten werde das Unternehmen von der Site entfernen. Unklar bleibt, ob eBay auch aktive Schritte plant, um etwa JavaScript-Aufrufe beim Upload aus den Angeboten herauszufiltern. Nur damit könnte der Konzern technisch unterbinden, dass bösartige Anbieter die Sicherheitslücke ausnutzen.
Quelle : www.heise.de
-
Beim Internetauktionshaus eBay klaffen der Zeitschrift "Computerbild" zufolge erhebliche Sicherheitslücken. So könne ein Angreifer Nutzerdaten von Ebay-Mitgliedern ändern und in deren Namen Gebote in beliebiger Höhe abgeben. Das Passwort des Mitglieds müsse er dafür nicht kennen.
Zudem sei es möglich, einen "Wurm" bei eBay einzuschleusen. Dieses Schädlingsprogramm könne sich automatisch im eBay-System vermehren und dabei Nutzerdaten und Gebote fälschen. Im schlimmsten Fall könnten durch eine Kettenreaktion tausende Auktionen und Mitgliedskonten manipuliert werden.
eBay weiß Bescheid
eBay wurde dem Bericht zufolge bereits vor mehreren Wochen vom Entdecker der Sicherheitslücken, einem Studenten aus der Nähe von Berlin, über die Gefahr informiert. eBay-Sprecher Nerses Chopurian gab das Problem zu, erklärte aber, es handele sich um theoretische Sicherheitslücken: "Der Handel auf der eBay-Plattform ist nicht gefährdet." Dennoch werde an einer Lösung des Sicherheitsproblems gearbeitet.
Quelle : www.onlinekosten.de
-
Dreiste Antwort, natürlich ist auch bei solchen Manipulationen der Handel für ebay unter kaufmännischen Gesichtspunkten nicht wirklich gefährdet, die verdienen immer noch genug Geld mit den korrekt abgewickelten Auktionen.
Aber wenn die Lücke ausgenutzt werden sollte, ist der Handel für die betroffenen Nutzer mehr als gefährdet. Eine Lücke, die einmal gefunden wurde, wird sicher auch noch jemand anders entdecken, der sie dann vielleicht ausnutzt.
Anscheinend besteht ja für die Kunden keine Möglichkeit, sich wirklich zu schützen. Die sind meist nicht so reich, dass sie jede Panne verschmerzen können, auch führt das Zurückziehen glücklicherweise entdeckter manipulierter Gebote nicht gerade zu einer Verbesserung des Rufs der Betroffenen.
Riskant ist das insbesondere für solche Teilnehmer, die nicht dauernd ihre Mail kontrollieren, weil sie gerade selbst keine Gebote abgegeben haben, oder auch, wenn die gefälschten Gebote erst sehr kurz vor Ablauf gesetzt würden, somit keine Zeit mehr für Entdeckung und Korrektur bliebe.
Wochenlanges Nicht-Reagieren ist jedenfalls nicht mit den kaufmännischen Sorgfaltspflichten des Veranstalters zu vereinbaren, möglicherweise mancht sich ebay schadensersatzpflichtig, wenn trotz Warnung Manipulationen ihres Systems nicht verhindert werden.
-
In einer Live-Demo zeigt das Entwicklerteam von Validome, wie Verkäufer in Online-Auktionen bei eBay das Passwort der Bieter abfangen können. Dieses Problem ist schon länger bekannt, doch eBay erlaubt weiterhin die Verwendung von JavaScript in Auktionen und spricht von einer nur theoretischen Sicherheitslücke.
Die Demo setzt voraus, dass Sie den Internet Explorer benutzen und Active Scripting zulassen (Standardeinstellung). Geben Sie auf keinen Fall Ihre echten eBay-Zugangsdaten an, sondern erfinden Sie andere. Die Beschränkung auf den Internet Explorer ist notwendig, da Validome das JavaScript kodiert hat, um es vor den Augen von potenziellen Nachahmern zu verbergen. Ein Betrüger würde sich diese Mühe natürlich nicht machen und eine universellere Lösung wählen, die dann auch mit anderen Browsern wie Firefox, Opera & Co. funktioniert. Wenn Sie bei der Demo genau hinsehen, erkennen Sie die feinen Unterschiede zwischen der gefälschten Anmeldeseite und der echten von eBay. Natürlich erfolgt die Anmeldung nicht über SSL, so wie eBay dies seit einiger Zeit standardmäßig beim Bieten vorsieht, sondern wie früher auf einer ungesicherten Verbindung. Doch wer kann schon sagen, dass dies nicht wieder eine Änderung in der eBay-Software ist?
Stern TV (heute 22.15 Uhr auf RTL) hat einen Beitrag zum Thema Passwortklau bei eBay geplant, in dem eBay zu den Vorwürfen Stellung nehmen soll. Das Online-Auktionshaus sieht sich wachsendem Druck ausgesetzt, zumal am letzten Wochenende eine weitere Sicherheitslücke bekannt wurde, die der Student Jörn H. der Computerbild gemeldet hatte. Diese ermöglicht zwar nicht den Diebstahl von Mitgliedsdaten, aber unter bestimmten Umständen die Abgabe von Geboten unter fremden Accounts sowie die Manipulation der bevorzugten Lieferadresse in deren Benutzerkonto.
eBay nimmt dieses Problem ernst und hat angekündigt, es voraussichtlich Anfang Januar durch ein Software-Update zu beheben. Bis dahin sollte man auf E-Mails von eBay achten, die Gebote melden, die man nicht abgegeben hat. Niemand muss fürchten, Ware abnehmen zu müssen, die er nicht gekauft hat. Denn etwa nach Ansicht des Landgerichts Bonn (AZ 2 O 472/03) reicht die Identifikation mittels Passwort nicht als Beweis, dass ein Mitglied ein Gebot tatsächlich abgegeben hat.
Mehr Informationen zu der Demo und zum Passwort-Phishing mit JavaScript in eBay-Auktionen finden Sie im Hintergrundbericht eBay-Passwortklau auf heise security.
Update: Leider kommen Sie zu spät. eBay hat die von uns verlinkte Auktion nach dreieinhalb Stunden aus dem System entfernt. Als kleines Trostpflaster haben wir einen kleinen Film im Windows-Media-Format (rund 140 KByte) und alternativ eine QuickTime-Animation (etwa 4,8 MByte) vorbereitet, die das Bieten und die Passworteingabe auf einer so präparierte Auktion zeigen.
http://www.heise.de/newsticker/meldung/54272
-
Noch immer ist es Verkäufern auf eBay möglich, die Passwörter von Bietern abzufangen. Dazu genügt es, einige Zeilen JavaScript in die Artikelbeschreibung einzubauen, die den Bieter zur Passworteingabe unbemerkt auf eine fremde Seite entführen. stern TV demonstrierte dieses Sicherheitsloch in der Live-Sendung Mittwoch Abend vor laufender Kamera. eBay kennt das Problem nach eigener Aussage schon lange, hat aber bislang keine wirksamen Gegenmaßnahmen ergriffen. Allerdings versuchte das Online-Auktionshaus, die Live-Demonstration durch eine gerichtliche Verfügung zu stoppen.
Bereits am 15. Dezember hatte heise online auf eine Beispielauktion verlinkt, in der das Entwicklerteam von Validome die Umleitung per JavaScript online demonstrierte. Rund dreieinhalb Stunden konnten sich unsere Leser selbst von dem Problem überzeugen, ehe eBay die Auktion sperrte. Am Abend wollte stern TV die Demonstration live wiederholen, doch eBay gelang es, die vorbereiteten Auktionen rechtzeitig zu löschen. Oliver Weyergraf von eBay erklärte in der Sendung, eine Software spüre im Hintergrund Auktionen mit schädlichem JavaScript auf. Außerdem empfahl er die eBay-Toolbar, einen Zusatz für den Internet Explorer, als zuverlässigen Schutz gegen die Umleitung beim eBay-Login auf fremde Seiten.
Wie diese plötzlich aufgetauchte Suchfunktion arbeitet, ließ sich nicht klären; echten Schutz bietet sie jedoch offenbar nicht. Denn an den folgenden Tagen waren Versuche, das Sicherheitsloch auf etwas andere Art und Weise auszunutzen, wieder erfolgreich. stern TV entschloss sich daraufhin, eine weitere Live-Demo zu wagen.
eBay wurde darüber informiert und erwirkte eine einstweilige Verfügung gegen Alex Leporda von Validome, die ihm den Auftritt in der Sendung untersagte. Der Anwalt von Leporda, Tobias Strömer, erklärte gegenüber heise online, die einstweilige Verfügung sei aufgrund falscher Angaben ergangen. eBay habe sie mit der Begründung beantragt, dass Alex Leporda für die Sendung am 15. Dezember die Daten eines eBay-Mitglieds ohne dessen Wissen und Einverständnis ausspioniert und veröffentlicht habe. Dies sei unwahr, wie jeder Zuschauer der Sendung bestätigen könne, so Strömer.
Doch stern TV hatte ohnehin bereits jemand anderen für die zweite Live-Demo eingeplant. Wolfgang Krückels von Expert-Center Solutions spähte in der Sendung das Passwort eines Studiogastes aus -- natürlich mit dessen Einverständnis. Auf dem dafür eingesetzten Computer war sogar die eBay-Toolbar installiert, ohne dass diese vor der Gefahr warnte. Wolfgang Weber, Leiter Internet-Sicherheit bei eBay, erklärte dazu mehrfach: "Wir nehmen dieses Problem sehr ernst." Wann das Auktionshaus funktionierende Schutzmaßnahmen implementieren wird, konnte er jedoch nicht beantworten.
Quelle : www.heise.de
-
Armes, armes ePay.
Geld stinkt!
-
Eigentlich soll das Ersteigern beim größten Online-Auktionshaus eBay sicher sein und Spaß machen. Abgesehen davon, dass bei vielen Auktionen der Preis aber in schwindelerregende Höhen getrieben wird, ist es auch mit der Sicherheit nicht immer gut bestellt. Schon mehrfach hatten wir über Sicherheitslücken berichtet, nun ist ein neues, gefährliches Leck entdeckt worden. Ausgerechnet der Treuhand-Service, der bei Auktionen mit einem hohen Endgebot Sicherheit garantieren soll, wurde von dreisten Betrügern missbraucht.
Mitarbeiter des RTL-Magazins "Extra" deckten auf, dass eine rumänische Bande über einen Umweg in Italien den Sicherheitsdienst ausnutzt, um eBay-Mitglieder um ihr Geld zu bringen. Sie sollen sich bei eBay einschleusen und als Treuhand ausgeben. Hierzu verschicken sie falsche E-Mails im Namen der echten Treuhand an den Verkäufer. Diese Mails bestätigen angeblich den Eingang der Zahlung für das ersteigerte Produkt. Die betrügerischen Strippenzieher aus Rumänien übernehmen also die Rolle der Käufer als auch des Treuhandservices. Der ahnungslose Verkäufer wird dann in der Regel aufgefordert die Ware an eine Mietadresse in Italien, Spanien oder England zu schicken.
Zwei Festnahmen
In einem Test wurde eine teure Uhr zur Versteigerung angeboten, zu der sich tatsächlich ein Interessent meldete. Es wurde eine gefälschte E-Mail verschickt, die in das italienische Mailand führte, wo unter einer Mietadresse in einem Copyshop bereits rund 20 Päckchen von Geschädigten lagerten. In weiteren Ermittlungen wurden zwei Rumänen bereits verhaftet.
"Bis zum heutigen Tag war uns die Betrugsmethode nicht bekannt", erklärt Dirk Volkland, Leiter der Kripo Potsdam. "Wir werden mit "eBay" nötige Schritte einleiten." Allein in Italien soll es etwa 20 Postadressen geben, wo pro Tag im Schnitt 20 Pakete mit einem Wert von etwa 20.000 Euro eingehen. Das bedeutet einen täglichen Umsatz von 400.000 Euro für die Betrüger.
Quelle : www.onlinekosten.de
-
In Mails, die vorgeblich von Ebay stammen, wird versucht an Account-Daten von Ebay-Nutzern zu gelangen. In den HTML-formatierten Mails ist ein Link enthalten, dessen Text mit "https://arribada.ebay.com" beginnt und so vortäuschen soll zu einer verschlüsselten Ebay-Website zu führen. Der Link führt jedoch zu einer ganz anderen Seite.
Soweit ist das Vorgehen typisch für Phishing-Mails. In diesem Fall zeigt der Link jedoch auch tatsächlich auf einen Ebay-Server. Er benutzt ein allgemeines Umleitungs-Script von eBay, um letztlich doch eine fremde Seite zu laden. Deren URL steht ganz am Ende der Zeile, sodass sie meist nicht auffällt.
Die aufgerufene Seite enthält dann wie üblich ein gefälschtes Formular zur Eingabe der Ebay-Daten. Die eingegebenen Daten werden nicht an Ebay sondern an Unbekannte gesendet, die mit diesen Daten im Namen des Ebay-Nutzers Geschäfte tätigen können. Durch den Missbrauch der Umleitung ("redirect") kann auch bei misstrauischen Naturen der Eindruck entstehen, die Mail käme wirklich von dem Unternehmen.
Quelle : www.pcwelt.de
-
Mal sehen, wie und wann "Die Menschen sind gut" alias ebay diesmal reagiert...
Eine solche Umleitungs-Routine hat m.E. auf deren System nichts zu suchen, das grenzt an Beihilfe >:(
-
Harald K. hegte keinen Zweifel daran, dass er eine Phishing-Mail erhalten hatte, mit der jemand Zugangsdaten und Kreditkarteninformationen von eBay-Kunden abfischen wollte. Er reagierte so, wie es eBay in seinem Online-Tutorial zu betrügerischen E-Mails empfiehlt, und leitete die Nachricht an spoof@ebay.de weiter. Daraufhin erhielt er eine überraschende Antwort: "Die E-Mail, die Sie erhalten haben, ist eine offizielle E-Mail oder ein offizieller Newsletter von eBay."
Diese Auskunft war definitiv falsch. Die Mail trug zwar den Absender aw-confirm@ebay.com, doch der enthaltene Link führte zu der mittlerweile abgeschalteten Seite http://208.57.118.99/wa/index.php im eBay-Design. Dort sollte man sich über ein nachgemachtes Login-Formular anmelden, um die Daten seiner Kreditkarte zu aktualisieren. Die Fälschung war nicht besonders gut und recht einfach zu durchschauen. Dennoch hätte eBay mit seiner Falschauskunft ein unerfahrenes Mitglieder dazu verleiten können, wichtige Daten einem Betrüger anzuvertrauen. Auf Anfrage von heise online bezeichnete das eBay-Presseteam die falsche Antwort als "bedauerlichen Einzelfall". Man werde prüfen, wo die Ursachen dafür liegen, und für die Arbeit im Kundenservice daraus lernen.
Quelle : www.heise.de
-
Der Ideenreichtum der Datenphisher gibt IT-Sicherheitsexperten immer wieder Anlass zur Sorge. Der neueste Trick, um Anwender glauben zu lassen, auf eine echte Seite geführt zu werden, nutzt diesmal keine Schwachstelle in Browsern oder E-Mail-Programmen aus, sondern eine Funktion direkt auf den eBay-Servern.
Bei der Phishing-Masche (Password fishing) werden eBay-Kunden per E-Mail auf gefälschte, angebliche eBay-Webseiten gelotst. Dort werden sie aufgefordert eBay-User-ID, Passwort und unter Umständen auch noch Adresse und Kreditkartendaten samt PIN anzugeben.
Im vorliegenden Fall nutzt der Angreifer ein Umleitungsprogramm (Redirect-Handler) auf der eBay-Site aus, um die E-Mail und den darin enthaltenen Link authentischer wirken zu lassen. Die E-Mails, die vorgeben von eBay zu stammen, kursieren seit dem 12. Februar im Netz. eBay wurde darüber zwar informiert, hat aber bisher nicht auf diesen Phishing-Trick reagiert. Die Funktionsweise des Tricks illustriert dieses Beispiel:
http://cgi4.ebay.com/ws/eBayISAPI.dll?
MfcISAPICommand=RedirectToDomain&DomainUrl=http://www.heisec.de
Eigentlich wurde vorigen Monat ein Meldesystem für Phishing-Versuche gegründet, in dem sich eBay mit Microsoft, PayPal und Visa zusammengeschlossen hat. Hier sollen Hinweise zentral erfasst werden, um Maßnahmen gegen Betrüger einzuleiten. Bei den Unternehmen -- und nicht bei den Anwendern -- sieht das Internet Storm Center auch die Hauptverantwortung im Kampf gegen Phishing.
Dennoch können sich Nutzer vor Phishing-Attacken generell schützen: Wichtige Internetadressen immer direkt eintippen und die Loginseiten nicht über Links in E-Mails aufsuchen.
Quelle und Links : http://www.heise.de/newsticker/meldung/56921
-
Für einen weiteren Phishing-Trick auf den Seiten von eBay werden nicht einmal mehr aktive Inhalte benötigt, um an die Login-Daten von eBay-Nutzern zu gelangen. eBay bietet seinen Nutzern "mich"-Seiten zur Selbstpräsentation an. Dort lässt sich beliebiger Inhalt platzieren.
Anders als frühere Phishing-Tricks, die über die eBay-Angebotsseiten funktionieren, ist hier kein Javascript, eine andere Skriptsprache oder ein zusätzliches Plugin nötig.
Zudem können "mich"-Seiten ein völlig anderes Aussehen erhalten. Im Unterschied zu Angebotsseiten werden auf ihnen nämlich so gut wie keine weiteren Inhalte von eBay automatisch eingeblendet, beispielsweise Bewertungen. Allein aus der URL mit einer unauffälligen User-ID, wie beispielsweise "http://cgi3.ebay.de/ws2/eBayISAPI.dll?ViewUserPage&userid=signin", der Tatsache, dass es keine https-URL ist, und der Titelleiste könnte ein aufmerksamer eBay-Nutzer Verdacht schöpfen, dass auf dieser Seite die Eingabe seiner Login-Daten gefährlich werden könnte. Aber nicht allen Nutzern wird dies sofort auffallen.
Die Pressestelle von eBay erklärte in einer Stellungnahme gegenüber heise Security: "Der beschriebene Sachverhalt ist -- genau wie bei der missbräuchlichen Nutzung von JavaScript -- darauf zurückzuführen, dass die eBay-Seiten gemischte Inhalte haben. Ein Teil des Inhalts kommt von eBay, ein anderer Teil kann von den Nutzern gestaltet werden." Allerdings lässt sich nicht mehr unterscheiden, welcher Inhalt von wem stammt. Die Flexibilität bei der Selbstdarstellung geht auch hier auf Kosten der Sicherheit.
eBay erklärt auf seinem Sicherheitsportal ausführlich, wie seine Login-Seiten zu erkennen sind. Dem zufolge enthalten echte eBay-Adressen einen Punkt '.' vor ebay.de und einen Schrägstrich '/' direkt dahinter. Als Beispiel wird die URLs http://cgi3.ebay.de/ aufgeführt. Genau diese ist aber auch in dem Link zu der manipulierten "mich"-Seite zu finden. Anwender sollten Links zu den Seiten von eBay -- etwa in E-Mails -- deshalb nur mit erhöhter Aufmerksamkeit folgen.
Quelle und Links : http://www.heise.de/newsticker/meldung/57240
-
Die Versender von Phishing-Mails haben offenbar einen Schwachpunkt bei Ebay für sich entdeckt. Sie senden eine der üblichen Phishing-Mails, der darin enthaltene Link führt jedoch zunächst tatsächlich (nicht nur scheinbar) auf die echte Sign-In-Seite von Ebay (signin.ebay.com). Das englische Unternehmen Netcraft Anbieter einer Anti-Phishing Toolbar für Internet Explorer und Firefox , berichtet über diese Phishing-Masche.
Die von den Phishern versandten Mails unterscheiden sich im Grunde nicht von den sonst verschickten. Sie fordern den Empfänger auf seine Benutzerdaten bei Ebay zu bestätigen. Empfänger solcher Mails, die das Link-Ziel als Kriterium für die Echtheit einer erhaltenen Mail ansehen, tappen in die Falle. Der Link enthält eine zusätzliche Zeichenkette mit Parametern, die nach dem Aufruf der originalen Ebay-Seite eine Weiterleitung auf eine gefälschte Seite mit einem identisch aussehenden Anmeldeformular veranlassen.
Möglich wird das durch einen Schwachpunkt bei Ebay. Eine offenbar von jedermann nutzbare Weiterleitungsfunktion auf einem Ebay-Server ermöglicht die Umleitung eines Seitenaufrufs auf eine beliebige externe Website. In diesem Fall ist das eine modifizierte Kopie der Ebay-Anmeldeseite, die eingegebene Daten an die Phisher sendet.
Diese Phishing-Masche wurde von Benutzern der Netcraft-Toolbar entdeckt. Sie waren zunächst auf den Trick herein gefallen, die Anti-Phishing-Toolbar markierte jedoch die kopierte Seite der Betrüger als Fälschung. Netcraft informierte Ebay bereits in der letzten Juli-Woche darüber. Eine Stellungnahme von Ebay zu dem Problem liegt nicht vor.
Quelle und Links : http://www.pcwelt.de/news/sicherheit/117359/index.html (http://www.pcwelt.de/news/sicherheit/117359/index.html)
-
Ähnlich den gefälschten E-Mails vor sechs Wochen, die angeblich vom Versandhändler Otto stammten, sind seit heute Mails im Umlauf, die eine Kontosperrung in sieben Tagen androhen, sollte man die eBay-Gebühren in Höhe von 600,59 Euro nicht umgehend zahlen. Durch diesen Schreck werden sicher wieder einige Empfänger den Anhang Ebay Rechnung.pdf.exe per Doppelklick öffnen -- zumal die .exe-Datei als Icon das PDF-Symbol enthält.
Bei Ausführung des E-Mail-Anhangs aktiviert sich der Download-Trojaner TROJ_RECHNUNG.A und lädt Schadcode von mehreren Systemen im Internet nach. Es handelt sich dabei um eine Wurm-Komponente für Peer-to-Peer-Netze wie Kazaa und Imesh, einen Keylogger, der für den Trojaner Goldun entwickelt wurde (mcfCC4.dll), sowie ein Rootkit für Goldun (mcfdrv.sys), mit dem sich der Trojaner versteckt.
Allgemeine Hinweise zum Umgang mit E-Mails und Attachments liefert der heise Security-Artikel "Präventive Maßnahmen".
Siehe dazu auch:
* Trojaner-Beschreibung von Trend Micro
* Präventive Maßnahmen zum Umgang mit E-Mails und Dateianhängen
* Rechnungs-Trojaner... find ich nicht gut auf heise Security
* Wieder gefälschte Telekom-Mails mit Trojaner unterwegs auf heise Security
Quelle und Links : http://www.heise.de/newsticker/meldung/63804
-
Aufmerksamen Lesern von heise online ist aufgefallen, dass Opera bei eBay-Suchen den Benutzer nicht direkt auf die Seiten des Auktionshauses führt, sondern den Zugriff über die Seiten des Werbedienstleisters Mediaplex leitet. Auf Nachfrage erklärte der Browser-Hersteller gegenüber heise online, dass man den Link von eBay erhalten habe.
eBay wiederum erklärte, bei der Vorgehensweise handele es sich "um die marktübliche Art und Weise zu 'tracken', wie viele Besucher auf diesem Weg zu eBay kommen". Opera ist im eBay-Partnerprogramm, erhält also für Klicks, die es an eBay weitervermittelt, eine Vergütung. Bei der Umleitung über Mediaplex würden alle datenschutzrechtlichen Aspekte eingehalten. Die Daten werden laut eBay nicht personalisiert und nur anonym über Mediaplex dargestellt.
Bei Firefox hatte ein ähnlicher Fall Ende 2004 für einen Sturm der Entrüstung gesorgt. Auch der Mozilla-Browser führte seine Benutzer über eine Umleitung zu eBay. Der Protest der Nutzerschaft führte letztlich dazu, dass die Umleitung ausgebaut wurde.
Da Opera dies nicht plant, müssen Benutzer des norwegischen Browsers, die den Angaben von eBay und Opera nicht trauen, auf die Suchfunktion verzichten -- oder sie von Hand ändern. Dazu muss man die Datei search.ini im Profilordner mit einem Texteditor editieren. Den Ordner gibt Opera aus, wenn man
about:opera
in die Befehlszeile eingibt. Beendet man den Browser und ersetzt man die (hier aus Platzgründen zweizeilig dargestellte) Zeile
URL=http://adfarm.mediaplex.com/ad/ck/707-1065-8356-16?RedirectEnter&partner=
01234&loc=http://search.ebay.de/search/search.dll%3Fshortcut=4%26st=2%26query=%s
durch
URL=http://search.ebay.de/%s
sollte Opera anschließend ohne Umwege direkt bei eBay suchen.
Quelle : www.heise.de
-
Seit dem heutigen Morgen gehen in der Redaktion heise Security vermehrt Hinweise auf E-Mails ein, die unter dem Vorwand einer dringlichen eBay-Rechnung oder Mahnung versuchen, den Empfänger zum Öffnen des Anhanges zu bewegen. Bei diesem handelt es sich um eine Datei mit typischer Doppelendung namens Rechnung.pdf.exe. In den Nachrichten mit unterschiedlichen Betreffzeilen in der Art "Wichtige Rechnung", "Ebay-Mahnung" oder "Ebay-Kontosperrung" wird der Empfänger aufgefordert, die angehängte Rechnung auszudrucken und den geforderten Betrag zu überweisen. Andernfalls drohe die Sperrung des Zugangs. Der Anhang wird bis zum jetzigen Zeitpunkt noch von keinem Virenscanner zuverlässig als Gefahr erkannt.
Regelmäßig wird versucht, E-Mail-Empfängern durch diese Masche einen Trojaner unterzuschieben. Der Redaktion liegen rund zwei Wochen und einen Monat alte E-Mails mit identischem Strickmuster vor. Damals handelte es sich bei dem gleichnamingen, etwa 11 KByte großen Anhang um eine Variante des Trojaners "Win32.Agent" bzw. "Win32/TrojanClicker". Die eigentliche Schadsoftware wird von diesem erst in einem zweiten Schritt aus dem Internet nachgeladen. Es ist davon auszugehen, dass es sich in der aktuellen Welle ebenfalls um eine Variante eines solchen Nachlade-Trojaners handelt. Ältere Wellen hatten neben eBay-Kunden auch Kunden des Reisedienstes Opodo, des Versandhauses Otto und der Telekom im Visier.
Interessant ist eine auffällige Entwicklung im Verbreitungsmuster von Schädlingen. In der Vergangenheit breiteten sich Schadprogramme meist selbsttätig und kontinuierlich auf weitere Systeme aus. Solch eine massenhafte exponentielle Verbreitung wird allerdings schnell bemerkt und bekämpft. Offenbar wird im Gegensatz dazu in jüngster Zeit Schadsoftware beispielsweise durch Bot-Netze kontrolliert und schubweise verteilt. Dabei verfügen die Schädlinge immer seltener über Funktionen zur autonomen Verbreitung.
Immer häufiger werden in E-Mails auch nicht mehr die eigentlichen Schadprogramme verschickt. Statt dessen sind es jetzt oftmals schlanke Programme, die zunächst typische Antiviren-Software und Personal-Firewalls beenden, bevor sie ungehindert die eigentliche, viel komplexere Schadsoftware aus dem Internet nachladen und installieren. Solche Download-Trojaner lassen sich leicht erstellen und modifizieren. Durch ihre Einfachheit und Flexibilität entgehen sie oft auch aktuellen Virenscannern und Heuristiken.
Quelle und Links : http://www.heise.de/newsticker/meldung/65160
-
Eine bekannte Masche hat noch nicht ausgedient: Trojanisches Pferd in angeblicher Rechnung.
Seit letzten Freitag werden zum wiederholten Mal angebliche Rechnungen oder Zahlungserinnernungen verschickt, die vorgeblich von Ebay kommen. Im Januar wurden ähnliche Mails im Namen des Computer-Versandhändlers Dell und einer kleiner Computerfirma aus Eschweiler verbreitet.
Die gefälschten Absenderangaben der Mails reichen von "eBay Collections" über "eBay Finance" bis "EBay Kundensupport". Der Betreff lautet zum Beispiel "14 Tage bis Ihre Kontosperrung" oder "Ihre Ebay.de Gebuehren". Der Text verweist auf den Anhang der Mail, den man ausdrucken solle.
Dieser Anhang ist 20.480 Byte groß, trägt den Dateinamen "Ebay-Rechnung.pdf.exe" und ein PDF-Symbol. Es handelt sich um ein Trojanisches Pferd vom Typ "Trojan-Downloader". Es kopiert sich als "ipfw.exe" in das System32-Verzeichnis von Windows und trägt sich in die Registry ein, damit es beim Windows-Start automatisch geladen wird.
Außerdem legt es im Verzeichnis "drivers" unterhalb Windows\System32 eine Datei "winut.dat" an. Diese enthält eine Reihe von Web-Adressen, von wo der Schädling Textdateien mit verschleierten Download-Adressen herunter lädt. Auf diese Weise bezieht er eine Datei "1.exe" von einem Server in der Schweiz. Diese gehört zur Familie der "Sicklebots" und versucht Kontakt zu einem russischem Server aufzunehmen.
Quelle und Links : http://www.pcwelt.de/news/sicherheit/131264/index.html
-
Das Internet-Auktionshaus eBay fordert mehr als 100.000 deutsche Nutzer zur Wahl eines neuen Passworts auf. Eine Sicherheitssoftware habe anonym unsichere Zahlen- und Buchstabenkombinationen ermittelt, sagte eBay-Sprecherin Maike Fuest. Die betroffenen Mitglieder würden derzeit per automatisch generierter Mail angeschrieben. Ein neues Passwort muss dann über die offizielle eBay-Homepage eingerichtet werden.
"Es ist das erste Mal, dass wir so etwas machen", sagte Fuest. Ziel sei es, das Missbrauchsrisiko von eBay-Mitgliedskonten zu verringern, da sich einfache Passwörter leicht erraten ließen. Dazu gehören beispielsweise Begriffe aus Wörterbüchern oder Namen. Ein sicheres Passwort dagegen besteht aus einer möglichst beliebigen Kombination von groß und klein geschriebenen Buchstaben, Zahlen und Sonderzeichen. Ungewöhnlich ist allerdings, dass eBay bei der Passworteingabe nicht zwischen Groß- und Kleinschreibung unterscheidet, was die Erstellung eines sicheren Kennworts erschwert.
Wer sich heutzutage bei eBay anmeldet, werde automatisch auf die Sicherheitsstufe des gewählten Passworts hingewiesen, sagte Fuest. Bestimmte Zeichenfolgen würden aus Sicherheitsgründen gar nicht mehr zugelassen. Beim Sicherheitsportal und in der Online-Hilfe informiert eBay über Passwortwahl und Möglichkeiten, einen Account zu schützen.
Quelle : www.heise.de
-
Das Internetauktionshaus eBay leistet Phishern unfreiwillig Schützenhilfe. So unterstützt eBay die automatische Weiterleitung auf externe Seiten – nach der erfolgreichen Anmeldung auf seinen eigenen Seiten. Dazu reicht offenbar die Angabe des Parameters continueURL in einem präparierten Link. Zwar ist die Weiterleitung auf eine externe Seite anhand der Adress- und Statuszeile ersichtlich, allerdings könnten Anwender dies schlicht übersehen, da sie sich ja zunächst auf der echten eBay-Seite per SSL eingeloggt haben und die betrügerische Seite im gleichen Gewand erscheint.
Im aktuellen Fall kursieren gefälschte eBay-Mails mit dem Betreff "Wiederhergestelltes Mitgliedskonto", die den Empfänger darüber informieren, dass seine Bank eBay informiert hätte, sein Konto sei manipuliert worden. Der enthaltene präparierte Link führt zunächst auf das eBay-Login. Nach der erfolgreichen Anmeldung auf den echten Seiten von eBay erscheint eine Meldung, man sei von eBay aufgrund von Unregelmäßgikeiten ausgeschlossen worden. Ursache dieser gefälschten eBay-Meldung ist wahrscheinlich der undokumentierte Parameter DisplaySUorNPBPopUp in der Phishing-URL, der eBays Skripte auf dem Webserver zu diesem Hinweis veranlasst, obwohl das Konto weiterhin gültig ist. Ein Klick auf "Weiter" führt dann schließlich auf die in continueURL angegebene eigentliche Phishing-Seite, auf der der Anwender Kontonummer, Bankleitzahl, Kontoinhaber und Anschrift zur Bestätigung seiner Identität wieder eingeben soll.
Was die Phisher mit diesen Daten wollen, ist nicht ganz klar, eventuell planen sie, die Konten ihrer Opfer per Lastschrifteinzug leerzuräumen. Möglich ist auch, dass sie die Konten für Geldwäsche missbrauchen wollen, indem sie die Beute anderer Raubzüge dorthin überweisen und anschließend mit dem Opfer Kontakt treten und es bitten, das fehlgeleitete Geld "freundlicherweise" per Western Union zu überweisen. Nach bisherigen Erkenntnissen von heise Security gelangen die eBay-Anmeldedaten selbst aber nicht in die Hände der Betrüger.
Der ganze Artikel (http://www.heise.de/security/news/meldung/72092)
Quelle : www.heise.de
-
Wer in den vergangenen Tagen per E-Mail eine vermeintliche Rechnung von eBay erhalten hat, sollte überprüfen, ob sein Rechner eventuell mit einem Trojaner infiziert ist. Die gefälschte Rechnung trug im Anhang nämlich eine als PDF-Datei getarnte ausführbare Datei, in der ein Schädling namens TR/Dldr.Small/TROJ_YABE.G steckt. Wie üblich kündigt der Mail-Text eine relativ hohe Summe an, um den verunsicherten Empfänger zum Öffnen des Anhangs zu verleiten. Derzeit erkennen noch nicht alle Scanner den Schädling, der auf infizierten Windows-Systemen weitere Dateien aus dem Internet nachlädt. Die Seiten zum Nachladen sind derzeit wohl aber noch nicht aktiv.
Der Schädling hat keine eigene Verbreitungsroutine, sondern wurde über Spamlisten an eine Vielzahl von Anwendern verschickt. Anwender sollten auf keinen Fall verdächtige Anhänge öffnen und bei allen unverlangt zugesandten Mails größte Vorsicht walten lassen. Weitere Hinweise zum Schutz vor Viren und Würmern finden Sie auf den Antivirus-Seiten von heise Security.
Siehe dazu auch:
* Beschreibung von TROJ_YABE.G von Trend Micro
Quelle und Links : http://www.heise.de/security/news/meldung/73601
-
Eine neue Phishing-Welle schwappt in die Mailboxen der Internetnutzer. Dieses Mal soll die Mail die Anwender verunsichern, indem sie diesen vormacht, sie hätten das Höchstgebot auf einen Gegenstand abgegeben. Die Mail ist jedoch in extrem schlechtem, nahezu unverständlichen Deutsch verfasst.
Die Links in den Phishing-Mails sind ebenfalls kaum zur Täuschung der Nutzer geeignet. Zwar ist in den Links die Adresse www.ebay.de enthalten, sie sind aber vor den eigentlichen Server in der Form http://www.ebay.de.xxyy.zz/ gesetzt. Der Server, auf dem die Phishing-Seite gehostet war, liefert inzwischen nur noch eine Fehlermeldung aus, wenn man den Links in der Mail folgt.
Empfänger von Phishing-Mails sollten die Links in den E-Mails nicht einfach anklicken. In der Vergangenheit haben einige dieser Seiten versucht, über Sicherheitslücken in Browsern Schadsoftware auf dem Rechner zu installieren. Außerdem werden inzwischen auch die Empfänger-Adressen übertragen, wodurch die Phisher die Qualität ihrer Mail-Datenbanken verbessern können.
In der Vergangenheit waren so gut gemachte Phishing-Mails unterwegs, dass selbst eBays Fraud Investigation Team (FIT) Probleme hatte, sie zu identifizieren. Die derzeit versendeten Mails sollte das FIT jedoch zweifelsfrei als Phishing einstufen können.
Quelle : www.heise.de
-
Das US-CERT warnt vor einer kritischen Lücke im eBay Enhanced Picture Services, der zum Hochladen von Bildern in Auktionen dient. eBay stellt für diesen Dienst ein ActiveX-Control für den Internet Explorer zur Verfügung. Dem Fehlerbericht zufolge lässt sich allerdings ein Buffer Overflow in diesem Control von Angreifern ausnutzen, um über das Netz Code auf den Rechner zu laden und auszuführen. Allerdings muss das Opfer eine präparierte Webseite oder ein HTML-Dokument aufrufen, dass diese Lücke ausnutzt.
Das betroffene Control EPUImageControl (EUPWALcontrol.dll) ist nach Angaben des US-CERT im Lieferumfang von "Sell Your Item (SYI)", "Setup & Test eBay Enhanced Picture Services" und "Picture Manager Enhanced Uploader" enthalten. Ob auch deutsche eBay-Anwender das fehlerhafte Control auf ihren Rechnern haben, etwa durch Nutzung des ebay Bildermanagers, ist unklar. eBay Deutschland konnte auch nach diversen Anfragen keine Antwort geben.
Zumindest gibt eBay USA den Anwendern eine Anleitung an die Hand, wie diese feststellen können, ob das betroffene Control auf dem Rechner ist: Der Internet Explorer zeigt unter Extras/Internetoptionen/Temporäre Internetdateien/Einstellungen/Objekte Anzeigen die installierten Controls an. Ist dort EPUImageControl Class zu finden, hat der Anwender unter Umständen ein Problem. eBay hat zwar eine neue Version des Control zu Verfügung gestellt, es wird jedoch nur bei Nutzung des Bilderdienstes auf eBay zur Aktualisierung angeboten. Wenn sich des Controls ganz entledigen will, löscht es einfach.
Siehe dazu auch:
* eBay Enhanced Picture Services ActiveX control buffer overflow,Vulnerability Note VU#597721 von US-CERT
Quelle und Links : http://www.heise.de/security/news/meldung/75297
-
Wieder gehen Kriminelle mit vorgeblichen Ebay-Rechnungen auf Bauernfang. Sie senden Malware als Mail-Anhang in einer ZIP-Datei.
Es scheint sich immer noch zu lohnen mit vorgeblichen Rechnungen, die Spam-artig per Mail geschickt werden, auf die Jagd nach unvorsichtigen Anwendern zu gehen. So werden zurzeit wieder Mails mit vorgetäuschten Ebay-Rechnungen verbreitet, in denen ein Trojanisches Pferd steckt.
Die Mails kommen mit einem Betreff wie "eBay Rechnung vom 29.06.2006" oder "eBay International AG Rechnung vom 13.07.2006". Mit dem Satz "In der beigelegten PDF Datei finden Sie die genaue Auflistung ihrer Rechnung" sollen die Empfänger zum Öffnen der vermeintlichen PDF-Datei verleitet werden. Die Mails enthalten einen Anhang "Ebay-Rechnung.pdf.zip". In diesem ZIP-Archiv steckt eine EXE-Datei mit dem Namen "Ebay-Rechnung.pdf.exe", die nur 7680 Bytes groß ist und ein PDF-Symbol trägt.
Wird diese vermeintliche PDF-Datei per Doppelklick geöffnet, startet das Trojanische Pferd eine Download-Routine, die weitere Malware auf den Rechner schaufelt. Dabei handelt es sich um einen Schädling, der Anmeldedaten für das Online-Banking abfangen und an die Täter melden soll.
Quelle : www.pcwelt.de
-
dacht ich doch ich bin ein helles Köpfchen, aber denkste. Hab genau diese Mail erhalten und geöffnet, aber die PDF nicht, da ich im genannten Zeitraum keine Aktivitäten hatte. Wäre aber sonst reingefallen. Im ZIP selbst ist durch AntiVir nichts gefunden worden. Aber es steht ja auch, daß sich die Malware erst installiert.
Uff kater
-
Schwein gehabt (http://www.cheesebuerger.de/images/midi/froehlich/a050.gif)
-
An Alle bei denen die "Ebay-Rechnung.pdf.exe" als "Ebay-Rechnung.pdf"
angezeigt wird:
Extras-> Ordneroptionen->Ansicht-> Erweiterte Einstellungen-> Dateien und Ordner
Erweiterungen bei bekannten Dateitypen ausblenden = KEIN HÄKCHEN !!
Dann sieht man sofort, daß es sich um eine EXE handelt.
-
An Alle bei denen die "Ebay-Rechnung.pdf.exe" als "Ebay-Rechnung.pdf"
angezeigt wird:
Extras-> Ordneroptionen->Ansicht-> Erweiterte Einstellungen-> Dateien und Ordner
Erweiterungen bei bekannten Dateitypen ausblenden = KEIN HÄKCHEN !!
Jo , sollte man eigentlich sowieso so haben damit man Dateinamen vernünftig und vollständig angezeigt bekommt....
-
Betrüger bauen sich nahezu vollautomatisch Dutzende von Ebay-Konten mit guten Bewertungen auf und benutzen sie dann zum Verkauf von Artikeln, die sie nie liefern.
Die beliebte Auktionsplattform Ebay ist auch ein Tummelplatz für Kriminelle. Das Sicherheitsunternehmen Fortinet schildert in seinem Monatsbericht für Juli, wie sich Betrüger mit automatisch abgewickelten 1-Cent-Transaktionen positive Bewertungen verschaffen. Diese benutzen sie dann, um andere Waren zu höheren Preisen anzubieten, die sie nicht haben und auch nicht liefern.
Auf Ebay gibt es jede Menge "Sofort-Kaufen"-Artikel für einen Cent. Dabei handelt es sich regelmäßig um digitale Produkte wie E-Books oder Fotos. Die Anbieter wickeln die Verkäufe vollautomatisch mit so genannten Bots ab - bei einem Preis von einem Cent lohnt sich menschliche Arbeitskraft nicht. Der Artikel wird also automatisch per Mail versandt, eine standardisierte Bewertung für den Käufer wird ebenso automatisch abgegeben.
Die Betrüger richten sich Script-gesteuert beispielsweise hundert Ebay-Konten ein. Ihre Bots durchsuchen dann die Ebay-Seiten nach "Sofort-Kaufen"-Artikeln für einen Cent und kaufen sie. Sie erhalten vollautomatisch die Ware sowie eine positive Bewertung und senden ebenso automatisch eine positive Standardbewertung an das Profil des Verkäufers. So kosten hundert Ebay-Konten mit je 15 positiven Bewertungen 15 Euro - und sie entstehen nahezu ohne menschliches Zutun. Zwei Bots unterhalten sich und machen Geschäfte miteinander.
Mit diesen durchweg positiven und schon bei oberflächlicher Betrachtung verdächtig ähnlichen Profilen bieten die Täter nun höherwertigere Artikel an, etwa MP3-Player für 40 Euro. Sie kassieren das Geld, liefern jedoch nicht. Die Konten der Betrüger werden dann zwar von Ebay gelöscht, das kümmert die Täter jedoch nicht - sie haben ja genug davon und können schnell hundert neue generieren.
Die Ebay-Profile dieser Betrüger sind daran zu erkennen, dass sie alle ähnliche Standardbewertungen für gekaufte 1-Cent-Artikel enthalten. Die Ebay-Konten sind außerdem nicht sehr alt, die Namen sind meist zufällige Buchstabenfolgen. Die Verkäufer der 1-Cent-Artikel sind an dem Betrug nicht beteiligt, profitieren jedoch ebenfalls von dieser Masche.
Quelle : www.pcwelt.de
-
Drei Viertel aller Phishing-Attacken nehmen Ebay- und Paypal-Nutzer ins Visier. Die Online-Betrüger haben es auf Benutzernamen und Passwörter abgesehen.
Die Benutzer von Ebay und dessen Online-Bezahldienst Paypal sind die wichtigsten Zielscheiben für Phishing-Angriffe in diesem Jahr. Der britische Antivirus-Hersteller Sophos berichtet, dass 75 Prozent der seit Januar abgefangenen Phishing-Mails Links zu gefälschten Web-Seiten dieser beiden Dienste enthalten.
Dabei entfällt der Löwenanteil von 54,3 Prozent aller Phishing-Mails auf Paypal, 20,9 Prozent sind vorgebliche Ebay-Mails. Die Beliebtheit dieser Ziele sieht Sophos in der weltweiten Verfügbarkeit von Ebay und Paypal begründet. Die Zahl potenzieller Opfer ist wesentlich höher als bei Banken, die meist nur regionale Bedeutung haben. Durch die große Zahl verschickter Phishing-Mails steigt die Wahrscheinlichkeit, dass jemand darauf herein fällt.
Als Vorwand für die Mails dienen im Fall von Ebay, neben einer angeblich nötigen Aktualisierung der Kontodaten, auch vorgebliche Fragen anderer Ebay-Nutzer zu einer Auktion. Der Betreff lautet zum Beispiel "Question from eBay Member -- Respond Now". Darin beklagt sich jemand bei dem Angeschriebenen, dieser habe Ware nicht geliefert oder nicht bezahlt und nicht auf bisherige Anfragen geanwortet. Er solle nun schleunigst auf den Button "Respond Now" klicken und antworten.
Wer dem Folge leistet, landet auf einer gefälschten Anmelde-Seite von Ebay, deren URL oft so oder ähnlich aussieht: "http://IP-ADRESSE/~BENUTZERNAME /SignIn-HTML-faramail.html?SignIn&co_partnerId=2&p UserId=&siteid=0&pageType=&pa1=&i1=&bshowgif=&UsingSSL=&ru=http%3A%2F%2F www.ebay.com&pp=&pa2=&errmsg=&runame= &ruparams=&ruproduct=&sid=&favoritenav=&confirm= &ebxPageType=&existingEmail=&isCheckout=&migrateVisitor="
Die Seite selbst gleicht auf den ersten Blick der echten Ebay-Seite, leitet eingebene Kontodaten jedoch an die Betrüger weiter. Diese benutzen sie dann, um zum Beispiel Waren bei Ebay zu verkaufen, die sie gar nicht haben und auch nicht liefern werden. Was dann zu diesmal eher berechtigten Anfragen anderer Ebay-Nutzer, nämlich der betrogenen Käufer, führen kann.
Quelle : www.pcwelt.de
-
Seit dem heutigen Dienstagmorgen schwappt eine neue Schädlingswelle durch das Internet. Eine als eBay-Rechnung getarnte Mail gibt vor, im Anhang eine Auflistung der Kontoaktivitäten in einem vorgeblichen PDF-Dokument mit sich zu führen. Wie üblich kündigt der Mail-Text eine relativ hohe Summe an, um den verunsicherten Empfänger zum Öffnen des Anhangs zu verleiten.
In dem beigefügten ZIP-Archiv steckt statt der Rechung aber eine ausführbare Datei, die nach dem Auspacken und einem Doppelklick einen Downloader startet. Dieser lädt weiteren Schadcode aus dem Internet nach. Was genau auf dem PC geschieht, ist noch unklar und wird weiter getestet. Bei einer kurzen Analyse eines Samples auf Virustotal erkannten nur AntiVir, eTrust-Vet und NOD32 einen Schädling (TR/Dldr.EbayBill.D).
Gefälschte Rechnungen von eBay und der Telekom mit Trojanern im Anhang tauchen mittlerweile im Monatszyklus auf. Anwender sollten auf keinen Fall verdächtige Anhänge öffnen und bei allen zugesandten Mails größte Vorsicht walten lassen – egal von wem die Mail zu stammen scheint.
Weitere Hinweise zum Schutz vor Viren und Würmern finden Sie auf den Antivirus-Seiten von heise Security. Der c't-Emailcheck gibt detaillierte Hinweise zu typischen Gefahren bei E-Mails und Tipps, welche Einstellungen vorgenommen werden sollten.
Quelle : www.heise.de
-
Ein in Mails enthaltenes Trojanisches Pferd benötigt eine Datei aus einer vorherigen Infektion des Rechners.
In dieser Woche werden wieder Spam-artig Mails verbreitet, die eine vorgebliche Rechnung der Auktionsplattform Ebay enthalten. Die im Anhang mitgeschickte Malware scheint sich darauf zu verlassen, dass die Empfänger auch eine bereits früher versandte, ähnliche Mail und deren Anhang geöffnet haben.
Die Mails werden mit einem Betreff wie "eBay Rechnung vom 14 August 2006" verschickt. Im Anhang befindet sich ein ZIP-Archiv namens "Ebay-Rechnung.pdf.zip", das die Datei "ebay-rechnung.pdf.exe" (13.824 Bytes) enthält. Die Versender der Mails hoffen, dass die Empfänger diese Datei für ein PDF-Dokument mit der Rechnung halten und sie öffnen.
Es handelt sich dabei um ein Trojanisches Pferd, das weitere Schdlinge aus dem Internet nachladen soll. Dazu benötigt es jedoch offenbar eine Textdatei namens "winut.dat", die aus einer vorherigen Infektion des Rechners mit einem Vorgänger des Schädlings stammen müsste. Ohne diese Datei stürzt das Programm ab, wie der deutsche Antivirus-Hersteller Avira (http://www.avira.de) berichtet.
Das Programm installiert sich wie schon diverse Vorgänger als "ipf.exe" im System-Verzeichnis von Windows. Ein Registry-Eintrag dient zum automatischen Laden des Programms bei Start von Windows:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IPF.EXE" = "C:\Windows\System32\ipf.exe"
Es überschreibt, sofern vorhanden, die besagte Datei "winut.dat". Diese enthält die Download-Links für die nachzuladende Malware. Der Download weiterer Malware scheitert jedoch daran, dass die vorgesehenen URLs nicht oder nicht mehr erreichbar sind.
Quelle : www.pcwelt.de
-
Eine vorgeblich von Ebay kommende Mail enthält eine Bestätigung, dass ein Antrag auf Änderung der Mail-Adresse eingegangen sei. Die vermeintliche PDF-Datei im Anhang der Mail ist ein Trojanisches Pferd.
Bevorzugten die Versender Trojanischer Pferde dieses Typs bisher stets vorgebliche Rechnungen als Vorwand, meist von Ebay oder der Telekom, haben sie nun offenbar das Thema gewechselt. Im Mails mit der Absenderangabe "Ebay.de" und einem Betreff wie "Hinweis zu geanderter E-Mail-Adresse Ebay" wird dem verdutzten Empfänger bestätigt, sein Antrag auf Änderung seiner Mail-Adresse sei eingegangen. Erfahrene Ebay-Nutzer wissen allerdings, dass sie in echten Ebay-Mails mit ihrem Namen angesprochen werden und nicht mit "Hallo sehr geehrter Ebay Mitglied".
Falls der Adressat seine Adresse gar nicht geändert habe, solle er die in dem beigefügten PDF-Dokument beschriebenen Schritte sofort ausführen. Der Anhang besteht aus einer Datei mit dem Namen "Ebay.pdf.zip", die eine Datei "Ebay.pdf.exe" enthält. Wird dieses Programm, ein Trojanisches Pferd, gestartet, lädt es weitere Schädlinge aus dem Internet herunter und installiert sie.
Quelle : www.pcwelt.de
-
Ebay hat ein Sicherheitsproblem. Es ist einem Anwender gelungen, über einen gekaperten Mitarbeiter-Account im Ebay-Forum Postings zu veröffentlichen. Ob der Hacker, wie er behauptet, auch die Ebay-Konten anderer User sehen kann, ist unklar. Peinlich ist der Vorfall für das Online-Auktionshaus dennoch.
Ebay-Account: Feindliche Übernahme
Eine mutmaßliche Sicherheitslücke bei Ebay sorgte gestern für rege Diskussion in den Ebay-Foren. Im Sicherheitsforum brüstete sich ein Ebay-Anwender namens rflello@ebay.com alias Vladuz damit, dass er an die Daten anderer Anwender kommt. Dies sei mit Hilfe eines einfachen Hacks und unter Zuhilfenahme eines VPN Client, dem Ebay CS Investigator sowie einem Account-Übernahme-Tool namens Ahab möglich.
Der Hacker nannte einige Daten aus offenbar fremden Ebay-Accounts und postete einige Screenshots als Beweis. Auf die Nachfragen mehrerer Anwender, ob er aus ihren Konten bestimmte Informationen auslesen könne, ging der Hacker allerdings nicht ein. Einige inzwischen gelöschten Postings zeigten tatsächlich Kontoansichten, die man normalerweise nicht zu sehen bekommt. Ob es sich dabei um einen Fake handelt, ist unklar.
Dem Anwender gelang es auf jeden Fall, innerhalb des Threads als Pinkliner zu posten. Auch diese Postings wurden durch Ebay enfernt - allerdings erst mehrere Stunden später. Die Farbe Pink ist in den Foren nur den Ebay-Mitarbeitern vorbehalten (sogenannte Pinkliner). Erst im Laufe des gestrigen Abends wurde das Konto durch Ebay gesperrt. Ob es sich bei dem Anwender um einen gefrusteten (ehemaligen?) Ebay-Mitarbeiter handelte oder tatsächlich um einen Hacker, ist unklar – für Ebay wäre beides gleichermaßen unangenehm.
Das Online-Auktionshaus erklärte auf Nachfragte durch PC-WELT, es handelte sich tatsächlich um ein Administratorenkonto eines amerikanischen Ebay-Mitarbeiters. Die Hacker haben sich offenbar per Phishing die Kontozugangsdaten besorgt. Das Konto, so die Ebay-Pressestelle, sei aber ein Käufer- und Verkäuferkonto, das mit Ausnahme der Pinkliner-Fähigkeit in den Foren über keine zusätzlichen Fähigkeiten verfüge. „Es ist technisch unmöglich, dass man darüber irgendwelche Zusatzinformationen über andere Ebayer bekommt, die nicht auch über jedes andere Konto zugänglich werden“, so ein Unternehmenssprecher.
Über die Art und Weise, wie sich Administratoren von außen ins Ebay-System einloggen, machte der Pressesprecher keine Angaben. Es ist aber davon auszugehen, dass es sich um eine kombinierte VPN- und Session-ID-Lösung handelt, bei der für jeden Login eine Autorisierung von System eingeholt wird, bevor der Anwender auf den Server darf.
Gleichwohl ist der Fall für Ebay sehr peinlich. Er zeigt zum einen, dass es mit vertretbarem Aufwand möglich ist, sich halbwegs glaubwürdig als Ebay-Mitarbeiter auszugeben. Die Ebay-Sicherheit brauchte immerhin von etwa 14 Uhr als das erste Posting kam, bis nach 21 Uhr, um den Account zu sperren. Zum anderen wird das Online-Auktionshaus auch darüber nachdenken müssen, wie man mit Anwendern umgeht, wenn diese mit Hilfe von Phishing-Attacken ausspioniert wurden. Die Haltung, die Verantwortung nur beim Anwender zu suchen, dürfte nach einem solchen Vorfall nicht mehr durchzuhalten sein.
Interessantes Detail am Rande: Ebay hat nicht nur den Thread zensiert und einige Postings des Threads gelöscht (mindestens neun), sondern offenbar auch mindestens einen kritischen Diskussionsteilnehmer verwarnt. Ihm wird vorgeworfen, die Richtlinien zur Nutzung der Ebay-Foren und -Cafés verletzt zu haben.
Quelle : www.pcwelt.de
-
eBay habe ein massives Sicherheitsproblem, behauptet ein Unbekannter unter dem Pseudonym "Vladuz" und löste damit erregte Forendiskussionen aus. Ihm sei es gelungen, mittels eines einfachen Hacks Zugang zu den Daten anderer Anwender zu erhalten. Zum Beweis postete er im eBay-Forum Screenshots von Tools, mit denen eBay-Mitarbeiter Accounts überprüfen können. Diese wiesen offenbar echte Benutzerdaten auf, wie "Vladuz" in ihren Besitz kam, ist allerdings unklar. Der Aufforderung von Forenteilnehmern, zusätzliche und aktuelle Screenshots zu posten, kam der Unbekannte nicht nach und blieb damit den Beweis, dass er tatsächlich Zugriff auf die Accounts hat, schuldig.
Später meldete sich "Vladuz" noch einmal; die Nachricht stellte er als eBay-Mitarbeiter ins Netz, solche Beiträge werden im eBay-Forum durch eine rosa Betreffzeile gekennzeichnet. Immerhin sechs Stunden brauchte eBay daraufhin, um den Account zu sperren. Wie Vladuz an das Konto kam, ist nicht klar, die Zugangsdaten könnten also auch ganz herkömmlich "gephisht" worden sein und sind wiederum kein Beweis für ein Sicherheitsleck bei eBay. Eine Anfrage von heise online bei eBay wurde bislang nicht beantwortet.
Quelle : www.heise.de
-
In den vergangenen Tagen sorgten in den eBay-Foren die Behauptungen eines Unbekannten, er habe Zugriff auf eBay-Kundendaten erhalten, für Unruhe. "Vladuz" untermauerte seine Darstellung durch Screenshots angeblicher eBay-Tools und Postings als "Pinkliner", also mit Forenadministrator-Rechten. eBay bestreitet energisch, dass seine Vorwürfe zutreffen.
Pressesprecher Alexander Witt sagte gegenüber heise online: "'Vladuz' hatte keinen Zugriff auf das eBay-System, Mitgliederdaten oder dazu erforderliche interne Tools". Auch das Posten als Foren-Administrator sei kein Hinweis darauf, dass "Vladuz" Kundendaten einsehen konnte. "Ein Pinkliner-Account ist ein normales eBay-Mitgliedskonto, das lediglich einen erweiterten Zugriff auf das Forum bietet. Die Verwaltung von Kundendaten läuft über einen vollständig anderen Weg und einen anderen Account", erklärte Witt. Obwohl die Behauptungen von "Vladuz" offensichtlich falsch seien, untersuche man den Vorfall aber dennoch sorgfältig, ein abschließendes Ergebnis liege bislang noch nicht vor.
Quelle : www.heise.de
-
Hab gestern bei ebay etwas eingestellt und konnte über den Maillink heute nicht auf den Artickel zugreifen. Ein direktes Einloggen war heute auch nicht mehr möglich.
Habe dann heute eine Mail bekommen mit folgendem Betreff
A28 FPA NOTICE #DE: eBay - Administrative Passwortaenderung - xxxxx bitte befolgen Sie die Anweisungen umgehend.
gesand von der Adresse
derswebhelpETebay.de <derswebhelpETebay.de>
hab sie gescannt und dann geöffnet.
ein Auszug davon
es gibt Anzeichen dafuer, dass sich eine dritte Person unberechtigt in Ihr Mitgliedskonto eingeloggt hat.
Moeglicherweise ist diese Person ueber eine sogenannte Phishing-E-Mail an Ihr eBay-Passwort gelangt. Phishing-E-Mails sind betruegerische E-Mails, die aussehen, als seien sie von eBay versendet worden, und in denen Sie nach Ihrem Passwort oder anderen vertraulichen Daten gefragt werden.
Unser Sicherheitsteam hat Ihr eBay-Passwort und die Passwortfrage deaktiviert, um die Sicherheit Ihres eBay-Mitgliedskontos wiederherzustellen. Das heisst, Sie koennen sich momentan nicht wie gewohnt bei eBay einloggen. Ihr Mitgliedskonto ist jetzt wieder geschuetzt und es ist keinerlei Schaden entstanden. Dann folgen Anweisungen zum Passwortwechsel. Es wird aber kein Link angeboten sondern aufgefordert über die Direkteingabe von ebay Home und mein ebay den Wechsel vorzunehmen.
Die Mail sieht auf den ersten Blick echt aus. Ich bin mir 99% sicher nicht geschlampt zu haben. Hab nun ne Mail an ebay geschrieben um mir die Mitteilung bestätigen zu lassen.
kater
-
Sieh' Dir dringend 'mal den Quelltext / kompletten Header der Mail genau an.
So kannst Du wenigstens erfahren, von woher Dein Mail-Provider das gekriegt hat.
Und lasse die vorhergehenden IPs 'mal auflösen, z.B. um zu sehen, ob die zu anderen von ebay erhaltenen echten Mails passen.
Übrigens habe ich hier in Thunderbird schon lange jegliche Vorschau deaktiviert, 'lese' unerwartete Mails stets nur im Quelltext.
So erkennt man auch die allermeisten Spams sofort, z.B. an sinnlosen Fülltexten zur Täuschung von Spam-filtern, oder an grossen eingebundenen Bildern, die häufig den eigentlichen Text zeigen sollen und üblicherweise base64 codiert sind, um Quelltext-Analysen etwas zu erschweren.
Und das Wichtigste überhaupt ist, dem Mail-Programm das Nachladen externer Bilder pauschal zu verbieten.
Denn sonst erfährt der wahre Absender sofort, dass das Opfer gerade online ist, welche Rendering-Engine er nutzt, welches OS usw.
Das gibt dann quasi den Startschuss zum sofortigen Angriff.
-
Zahlreiche Internet-Nutzer finden diese Tage eine Spam-Mail im Posteingang, die angeblich vom Auktionshaus eBay stammt. Ähnlich wie bei den gefälschten 1&1-Mails tappen Kunden beim Öffnen des Anhangs in eine Falle.
Trojaner im Anhang
In der E-Mail mit der Absender-Adresse "presse@ebay.de" fordern Betrüger im Namen von eBay dazu auf, über ein vermeintliches PDF-Formular im Anhang eine neue E-Mail-Adresse zu beantragen. In dem beigefügten ZIP-Archiv "Ebay-92639904.zip" (Nummern können variieren) steckt statt dem PDF-Formular aber eine ausführbare Datei namens "Ebay.pdf.exe". In der Datei verbirgt sich ein Trojaner, den einige Virenscanner noch nicht erkennen.
Dass mit der E-Mail etwas nicht stimmt, erkennt man aber bereits an der Begrüßung: "Hallo sehr geehrter eBay Mitglied" heißt es dort. Solch einen Schnitzer würde sich eBay wohl kaum erlauben. In der Vergangenheit gab es immer wieder gefälschte eBay-Mails, die zur Zahlung einer Rechnung aufforderten. Das angehängten Rechnungsformular stellte sich auch hier als Trojaner heraus.
Um gefährliche Anhänge besser zu erkennen, sollte man unter den Ordneroptionen von Windows die Option "Erweiterung bei bekannten Dateinamen ausblenden" deaktivieren. So wird immer der vollständige Dateinamen angezeigt. Das schafft Klarheit, ob es sich um eine ausführbare und potenziell gefährliche ".exe"-Datei handelt. Hat man die Option deaktiviert, sieht man im Fall der eBay-Mail schon auf den ersten Blick, dass die angehängte Datei die Bezeichnung "Ebay.pdf.exe" und nicht "Ebay.pdf" trägt.
Quelle : www.onlinekosten.de
-
Ja habe die eMail gestern auch bekommen.
Kam mir sofort verdächtig vor und habe dann mal den Anhang (Ebay-90288235.zip) durch den Virenscanner geschickt und siehe da es wurde eine sogenannte Backdoor-Software (Trojaner) gefunden.
Die Tipps aus dem obigen Beitrag sollte man auf jeden Fall beachten und den Virenscanner aktuell halten und eben diesen auch ab und zu mal anwenden ;)
Vorallem gilt: Ein gesundes Misstrauen ist nie verkehrt bei sollchen Dingen!
-
die Mail von ebay war echt, hab es mir von ebay bestätigen lassen. Blöd ist nur, man kann mit dem ebay Kundenservice nur Verbindung über die ebay Home aufnehmen wenn man sich einloggt. Nun mach das mal wenn dein Zugang gesperrt ist. Hab aber im Impressum eine freie Mailadresse gefunden. Dort wurde mir heute bestätigt, daß die Mail mit dem genannten Betreff echt ist.
-
@kater:
Das mit den Account-Übernahmen ist bei Ebay gerade stark im Kommen. Meistens werden Accounts von Mitgliedern gehackt, die länger nicht bei Ebay aktiv waren und über diesen Account werden dann hochpreisige Artikel verkauft. In der Mail mit den Kontodaten werden dann die KTO Daten des Hackers oder eines Strohmannes übermittelt. Wenn der Käufer dann bezahlt, hat er Pech gehabt. Keine Ware und Geld weg. Die Kontos sind oft auch mit gefälschten Personalausweisen eröffnet, so dass man nicht einmal an den Kontoinhaber rankommt. Also immer schön sicheres Passwort verwenden!
@Jürgen:
Bei mir hat der Emai-scanner vom AVG den Anhang gleich als potentiell verseucht in die Virenquarantäne gestellt (wie übrigens die Anhänhe von der 1&1 Mail, der GEZ Mail, der Deutschen Bank mail,...)
-
bei mir geht jede Mail von den wenigen die ich öffne erst durch den Virenscanner. Gleichfalls jeder Download, egal woher. !00% gibt es nicht, aber was machbar ist sollte man tun.
kater
-
Die Affäre Vladuz hat einen neuen Höhepunkt erreicht: Der Hacker, der nach eigenen Angaben auf Sicherheitsprobleme bei eBay aufmerksam machen will, war wieder im deutschen eBay-Forum aktiv geworden. Erneut fiel er dabei durch Beiträge mit rosa hinterlegten Überschriften auf. Das kennzeichnet Beiträge so genannter Pinkliner-Accounts mit Administrator-Rechten. Diesmal war der Account aber nicht gestohlen, sondern offensichtlich selbst angelegt. Denn der Name lautete "vladuzsgi". Dass eBay die Beiträge unverzüglich gelöscht hat, gibt Verschwörungstheorien neue Nahrung.
Ursprünglich deutete einiges darauf hin, dass Vladuz lediglich per Phishing in den Besitz etlicher eBay-Accounts gekommen war und diese geschickt nutzte, um Unruhe zu stiften. Es waren zwar Screenshots von angeblichen eBay-Administrationstools aufgetaucht, in denen Benutzerdaten gezeigt wurden, doch deren Echtheit blieb unbewiesen. Nun stellt sich aber die Frage, wie der Hacker zu einem Pinkliner-Account unter eigenem Namen kommen konnte.
Vladuz behauptet von sich selbst, Rumäne zu sein. Mal unterhält sich Vladuz in eBay-Foren mit den anwesenden Mitgliedern, mal gibt er per IRC Auskunft zu seinen Zielen. Inzwischen wird ihm in etlichen Blogs jede Ungereimtheit zugeschrieben, die bei eBay auffällt: So waren in einigen Auktionen Änderungen mit dem Inhalt "zudalv", also Vladuz rückwärts geschrieben, und einem Bild aufgetaucht. Außerdem gab es andere Auktionen, in denen offenbar ein Betrüger nachträglich eine E-Mail-Adresse eingebaut hatte, unter der man einen Sofortkauf-Preis erfragen sollte.
Am 20. Februar berichtete The Register von einem Gespräch mit dem eBay-Sprecher Hani Durzy. Der habe eingeräumt, dass Vladuz eine einstellige Zahl von E-Mail-Accounts in seinen Besitz gebracht habe, die für Mitarbeiter im Kundenservice reserviert seien. Durzy habe aber erklärt, dass die Server für diese Accounts keine Verbindung zu dem Netz hätten, in dem sich Benutzerdatenbanken und vertrauliche Unternehmensinformationen befinden. Außerdem sagte er, eBay kenne die Identität von Vladuz und habe offizielle Stellen in den USA und Rumänien informiert. Vladuzsgi kommentierte die Aussagen des eBay-Sprechers heute Morgen um halb vier im eBay-Forum: "Durzy is full of shit. He lies all the time."
Die Ereignisse ergeben kein klares Bild. Es ist recht wahrscheinlich, dass mittlerweile mehrere Personen unter dem publikumswirksamen Pseudonym Vladuz auftreten. Viele der kursierenden "Beweise" sind fragwürdig und belegen nicht eindeutig, welche Rechte im eBay-System sich der oder die Hacker verschafft haben.
Quelle : www.heise.de
-
Einmal mehr werden vorgeblich von Ebay kommende Mails verbreitet, in denen eine angebliche Adressänderung der Empfänger als Aufhänger dient. Der Anhang der Mails enthält ein Trojanisches Pferd.
Bereits seit gestern Abend werden Spam-artig Mails verschickt, die vorgeblich von Ebay stammen und eine angebliche Änderung der Adresse des Mail-Empfängers zum Inhalt haben. Die mit gefälschten Absenderangaben versandten Mails dienen jedoch nur der Verbreitung eines Trojanischen Pferds. Praktisch identische Mails wurden bereits im März in Umlauf gebracht.
Die Mails kommen mit einem Betreff wie "Ebay: Sie haben Ihre Email Adresse geanderter", "Hinweis zu geanderter E-Mail-Adresse Ebay" oder "Ihre Ebay E-Mail wurde geandert" und verschiedenen Ebay-Adressen als Absenderangabe. Der Anhang besteht aus einem etwa 8 KB großen ZIP-Archiv mit variablen Namen wie "51702.zip" oder "65170791.zip" und enthält eine Programmdatei mit doppelter Endung, etwa "document.doc.exe" oder "ebay.doc.exe".
Wird diese EXE-Datei ausgepackt und aufgerufen, lädt sie eine weitere EXE-Datei aus dem Internet nach, ein Trojanisches Pferd aus der "Bzub"-Familie. Dieses legt eine Datei "ipv6monl.dll" im System32-Verzeichnis von Windows ab und registriert sie als BHO (Browser Helper Object) im Internet Explorer. Damit können Zugangsdaten ausspioniert werden, die in Web-Formulare eingegeben werden, etwa beim Online-Banking.
Quelle : www.pcwelt.de
-
Hallo,
hatte gestern ne Mail von wewewe@ebay de, ebay Support:Betreff: Ihr Konto mußte gesperrt werden.
Überprüfung bei ebay ergab, ne Fälschung.
Also, wer sowas bekommt, nicht öffnen und auf Mein ebay die eingegangenen Hinweise prüfen.
kater
-
Ein neuer Betrugstrick kann Ebay-Käufer teuer zu stehen kommen. Die Täter können direkt auf interne Datenbanken des Auktionshauses zugreifen und sich so E-Mail-Adressen und Daten über den Wohnort aktuell Bietender verschaffen. Die werden dann gezielt angesprochen - und ausgenommen.
Der Mechanismus funktioniert beängstigend gut. Und er macht es möglich, völlig automatisiert sehr echt aussehende E-Mails zu verschicken, die unterlegenen Bietern nach verlorener Auktion Hoffnung machen: "Ich habe gesehen, dass Sie bei meiner Auktion mitgeboten haben. Umständen zufolge, die sich meiner Kontrolle entziehen, muss ich die Ware so schnell wie möglich verkaufen. Ich habe mir erlaubt, eine direkte Ebay-Transaktion unter Squaretrader-Überwachung einzuleiten." Die Ware müsse nur noch bezahlt werden. Die Post kommt an die eigene E-Mail-Adresse - und wenn man dem Link zur "Zahlungsabwicklung" folgt, steht dort schon der eigene Wohnort und die eigene Postleitzahl.
Wer auf die Lockmail und die gefälschte Seite hereinfällt, die zwar täuschend echt aussieht, aber eine für Ebay eher merkwürdige URL hat - der wird aufgefordert, die glücklich erstandene Ware mit einer Western-Union-Transaktion zu bezahlen. So kommt das Geld der ahnungslosen vermeintlichen Käufer zwar bei den Betrügern an, aber es kann nicht nachvollzogen werden, wo es hingegangen ist.
Mit einem Skript, das auf einer offen zugänglichen Webseite für jedermann abrufbar ist, sind die notwendigen Daten für solche Aktionen kinderleicht zu bekommen. Man braucht nur die Transaktionsnummer einer bestimmten Auktion in ein Fenster zu kopieren, auf "Start" zu klicken, schon werden die Betrüger-E-Mails an die unterlegenen Bieter geschickt. Das dürfte gar nicht möglich sein, denn die Mail-Adressen sollten innerhalb des Ebay-Systems nicht offengelegt werden.
Betrugssystem von Nutzern aufgedeckt
Der Betrügertrick kommt aber nicht nur an die E-Mail-Adressen heran, sondern ordnet einem Ebay-Namen eines ahnungslosen Opfers auch noch dessen Wohnort und Postleitzahl zu. Die ganze Kette steht jedem, der die richtigen Web-Adressen kennt, vollkommen offen.
Aufgedeckt haben den Betrugsmechanismus die Mitglieder der privaten Initiative Falle-Internet.de. Die Gruppe besteht aus Nutzern, die sich über Ebay-Foren kennengelernt haben und nun gemeinsam im Netz auf Verbrecherjagd unterwegs sind, um aufzuklären und vor Betrugsversuchen zu warnen.
Nach Einschätzung von Falle-Internet.de gibt es verschiedene Betrügergruppen, die auf die offen zur Verfügung stehenden Skripte zugreifen. Die Köder-Mails würden in verschiedenen Sprachen verschickt. Die Betrüger versuchten einander bei hochpreisigen Auktionen so verzweifelt zu überflügeln, dass die vermeintlichen Sofort-Kauf-Angebote noch vor dem Ende der Auktionen versandt werden.
Ebay Deutschland wartet auf Anweisungen aus den USA
Den Zweitplatzierten einer Auktion zu kontaktieren, um ihm ein vermeintlich lohnendes, in Wirklichkeit aber betrügerisches Angebot zu machen, sei "eine gängige Betrugspraxis", sagt ein Mitglied von Falle-Internet.de. Die automatisierte und flächendeckende Ansprache solcher unterlegenen Bieter wird aber erst durch offenkundige Lücken im Ebay-Sicherheitssystem möglich.
Bei Ebay ist man sich der Lücke offenbar durchaus bewusst - auch weil in den Foren des Auktionshauses schon heftig darüber debattiert wird. Eine Stellungnahme oder gar Ankündigung von Gegenmaßnahmen gibt es bislang nicht. Aus der Deutschland-Zentrale erfuhr SPIEGEL ONLINE am Montagabend nur, man warte auf Nachricht aus dem US-Mutterhaus.
Für Ebay-Nutzer ergibt sich aus der Betrugsmasche eine schlichte Vorsichtsmaßnahme. Wenn Sie ein Angebot erhalten, das angeblich von einem Anbieter stammt, von dem Sie eben etwas ersteigern wollten: Ignorieren Sie es am besten, oder gehen Sie zumindest sehr vorsichtig damit um. Kontaktieren Sie den tatsächlichen Anbieter über die Ebay-interne Kommunikationsfunktion und fragen Sie ihn, ob er Sie tatsächlich angeschrieben hat. Wenn nicht, melden Sie den Vorfall Ebay.
Quelle : www.spiegel.de
-
Zwei Wochen lang wurden Ebay-Kunden mit betrügerischen Offerten perfider Krimineller beschickt. Die dafür nötigen Adressen hatten sie aus den Datenbanken von Ebay selbst gefischt - eine erhebliche Sicherheitslücke. Jetzt ist das Leck zumindest bei Geboten ab 100 Euro gestopft .
Wenige Stunden, nachdem SPIEGEL ONLINE über eine klaffende Sicherheitslücke bei Ebay berichtete, ist es dem Unternehmen nach eigenen Angaben gelungen, das Leck zu stopfen.
Über mindestens zwei Wochen hatten unbekannte Cyberkriminelle Adressdaten unterlegender Bieter in Online-Auktionen gesammelt, um ihnen umgehend betrügerische Offerten zu machen. Im Namen der Verkäufer offerierten sie, die Ware doch noch an die unterlegenen Bieter verkaufen zu wollen und forderten sie zur Zahlung auf.
Eine von zahlreichen Betrugsmethoden, die auf der Online-Auktionsplattform Ebay seit Jahren bekannt sind. Das Phänomen nennt sich dort "Fake SCO", was für "gefälschte Zweite-Chance-Offerte" steht. Neu und für viele Ebay-Nutzer schockierend war allerdings das Ausmaß des Betrugs-Mail-Versandes in den letzten Wochen.
Denn spätestens seit dem 28. August gab es ein im Internet zugängliches und möglicherweise gleich von mehreren Betrügergruppen genutztes Skript, mit dem sich die Identitäten und E-Mail-Adressen unterlegener Bieter in Auktionen automatisch einsammeln und direkt mit Betrugsmails beschicken ließen. Das Skript war so eingestellt, dass es sich für die Betrüger auch lohnte: Gebote unter 100 Euro wurden grundsätzlich ignoriert.
Späte Reaktion, dann aber zackig
Wohlgemerkt "wurden" - denn seit heute morgen ist nicht nur das Skript nicht mehr unter der von SPIEGEL ONLINE noch am Montag überprüften Adresse zu finden. Der ganze Nutzeraccount, auf dem es hinterlegt war, wurde gelöscht: Das Skript lag auf dem Server einer Schule in Luxemburg, abgespeichert auf den Seiten eines bestimmten Schülers. Dessen Account, in den sich die Täter möglicherweise eingehackt hatten, ist über Nacht verschwunden.
Somit lassen sich Ebays Angaben, das Problem auch grundsätzlich gelöst zu haben, anhand des in den letzten Wochen so erfolgreichen Skriptes derzeit nicht mehr überprüfen. Nach Veröffentlichung eines Berichtes über die Betrugsmasche bei SPIEGEL ONLINE am Montagabend warnte Ebay seine Kunden per "Marktmitteilung".
Rund vier Stunden später hatte der Auktionator eine Lösung implementiert, die er offenbar für hinreichend hält, eine ähnliche Betrugs-Mail-Welle in Zukunft zu verhindern: "Ab sofort werden wir Mitgliedsnamen der Bieter ab einem Gebot von 100 Euro und mehr nicht mehr öffentlich sichtbar darstellen. In diesem Fall sind die Mitgliedsnamen der Bieter in der Gebotsübersicht in Zukunft nur noch für den Verkäufer selbst sichtbar."
Das funktioniert, weil man Daten über Nutzer selbst über eine Sicherheitslücke nur dann abrufen kann, wenn man weiß, wer diese Nutzer sind. Der SCO-Betrug basiert aber auf dem Grundprinzip, den Teilnehmern ganz spezifischer Auktionen gezielte Angebote zu machen.
Diese Umstellung nahm Ebay bereits gegen 22.30 Uhr am Montag vor. In Kombination mit der Schließung des Nutzeraccounts, auf dem das Hackerscript hinterlegt war, dürfte die aktuelle Betrugs-Mail-Welle der letzten Wochen somit beendet sein. Bereits kurz nach Mitternacht wiesen Ebay-Nutzer nach, dass es zwar nach wie vor möglich ist, über die API-Schnittstelle des Ebay-Systems Daten über Ebay-Aktionsteilnehmer abzufischen, nicht mehr aber bei den anonymisierten Auktionen ab Biethöhen von 100 Euro.
Auch dieses Problem ist Ebay allerdings bekannt. Am Dienstagvormittag versicherte Ebay-Sprecher Nerses Chopurian im Gespräch mit SPIEGEL ONLINE, dass der nun identifizierte Schwachpunkt in der API-Schnittstelle laut Versicherung der Ebay-Techniker in den USA auch grundsätzlich für alle Auktionen bereinigt würde. Chopurian: "Das Problem wird definitiv im Laufe des heutigen Tages gelöst."
Auktionsbetrug: Ein Dauerproblem
Das Problem des Betruges in Auktionen ist mit technischen Mitteln aber nicht zu lösen: Der derzeit stärkste Betrugstrend bei Ebay täuscht zögerlichen Kunden bei hochpreisigen Versteigerungen besondere Sicherheit vor, indem ein Treuhänder-Service zwischengeschaltet wird. Seit Monaten gibt es eine Welle von Treuhand-Betrugsfällen, bei denen solche Services mitunter nur für Tage entstehen - nur um Gelder aus betrügerischen Auktionen einzusammeln.
Solchen Arten des Warenbetrugs hat Ebay wenig mehr entgegen zu setzen als Aufklärung seiner Kunden per FAQ, Sicherheitsregeln und Warn-E-Mails, denn die Täter verfallen ständig auf neue Tricks. Allein die schiere Größe des Marktplatzes verhindert, hier alle Betrügereien direkt unterbinden zu können, zumal die meisten Delikte nicht mit technischen Mitteln durchgeführt werden, sondern mit dem klassischen Instrumentarium des Trickbetrugs. Dass sich Betrüger einen Account anlegen, nicht existente Ware verkaufen, abkassieren und verschwinden, ist nicht zu verhindern: Hier hilft wenig mehr als der ständige Verweis auf die Vorsichtsmaßnahmen bei solchen Formen virtuellen Handels.
In der Polizeilichen Kriminalstatistik 2006 des Bundeskriminalamtes heißt es: "Bei über vier Fünfteln der Fälle mit Internet als Tatmittel handelt es sich um Betrugsdelikte (82,6 %). Besonders hervorzuheben ist hierbei der Warenbetrug, auf den allein mehr als die Hälfte (52,1 %) aller Fälle mit Internet als Tatmittel entfielen."
Lesen und Denken hilft
Erfasst - im Klartext: angezeigt - wurden im letzten Jahr rund 86.000 Warenbetrugsdelikte per Internet, die Dunkelziffer dürfte allerdings enorm sein. Ein großer Teil dürfte dabei auf Ebay entfallen, was dem Unternehmen grundsätzlich aber nicht vorzuwerfen ist: Wer einen Flohmarkt betreibt, muss mit schrägen Vögeln leben - und kann ihren Umtrieben letztlich nur mit Regeln begegnen.
Die gibt es bei Ebay, und ihre Befolgung hätte sogar Schädigungen durch das gestern Nacht geschlossene Sicherheitsleck verhindert: Die Statuten von Ebay verbieten ausdrücklich, Zahlungen per Western Union - wie dies die Betrüger versuchten - abzuwickeln. Einige Ebay-Kunden pflegen im Forum des Auktionshauses, wo seit Jahren über solche Betrugsmethoden debattiert wird, inzwischen einen etwas müden "Selbst Schuld!"-Fatalismus: "Wer lesen kann", schrieb da einer schon vor Wochen, "ist klar im Vorteil."
Grundsätzlich ist das wahr, aber wer liest schon die Hausordnung eines Flohmarktes? Der Kritik, dass die Systeme, die eigene Kundschaft vor akuten Betrugsaktionen zu warnen, nicht hinreichend sind, muss sich Ebay immer wieder stellen. Ebay-Sprecher Nerses Chopurian hat für solche Fälle schon einen regelrechten Reflex ausgebildet: den Appell an "den gesunden Internet-Verstand". Ganz Unrecht hat er da nicht.
Quelle : www.spiegel.de
-
Nach Angaben der Verbraucherschutzseite falle-internet.de war offenbar keine Lücke bei eBay die Ursache für das kürzlich bekannt gewordene missbräuchliche Auslesen der Kundendatenbank, sondern eine Schwachstelle bei der eBay-Tochter PayPal. Betrüger hatten die Daten benutzt, um ihren Opfern ein gefälschtes "Angebot an den unterlegenen Bieter" zu unterbreiten und Kaufwilligen per Sofort-Kauf und Abwicklung via Western Union das Geld aus der Tasche zu ziehen.
Mitarbeiter von falle-internet.de wollen zwei von den Betrügern zum Auslesen der Daten benutzte Skripte analysiert haben. Kernstück der Skripte sollen Aufrufe der PayPal-API in der Form (Zeile im Original obfusziert)
$url = file_get_contents('http://www.paypal.com/cgi-xxx/
webscr?cmd=_exxy-intxxxxxed-regxxxxxxion&link=0&NBO=1 &ebay_id=' .$_GET[buyer]);
sein, mit denen die eBay-Datenbank bei Angabe eines Mitgliedsnamen Postleitzahl, Wohnort und Mail-Adresse eines Opfers zurückliefert.
Sollten sich die Vorwürfe bewahrheiten, wäre dies eine äußerst prekäre Situation für PayPal, da der Online-Bezahldienst erst vor zwei Monaten eine EU-Banklizenz erworben hat. Für Geldinstitute dürften aber strenge Sicherheitsvorgaben gelten. Welche Konsequenzen eine mögliche Schwachstelle hätte, ist unklar. In eBay-Foren wird darüber gemunkelt, dass eBay nach Bekanntwerden der Lücke so schnell und unumwunden die Schuld auf sich nahm, um PayPal zu schützen. Zudem wirft falle-internet.de die Frage auf, warum PayPal überhaupt auf eBay-Daten zugreifen kann und ob dies mit den geltenden Datenschutzbestimmungen im Einklang steht. In eBays "Einwilligung in die Verarbeitung meiner personenbezogenen Daten" gibt es aber ein Passage, die anderen eBay-Gesellschaften den Zugriff auf Kundendaten einräumt – allerdings nur in Zusammenhang mit finanziellen Transaktionen.
Quelle : www.heise.de
-
Ein Unbekannter hat die persönlichen Daten von rund 1200 eBay-Mitgliedern offenbar unter deren eigenen Accounts veröffentlicht. Pikanterweise tauchten die Daten im Trust&-Safety-Forum der Online-Auktion auf. Danach verging einige Zeit, bis eBay sie in Zusammenarbeit mit seinem Dienstleister LiveWorld entfernt hatte. Darüber gerieten etliche Betroffene in Wut.
In den Datensätzen befanden sich auch Zahlenfolgen, die wie Kreditkartennummern aussahen, aber nach Angaben von eBay-Sprecherin Nichola Sharpe nicht zu den in der Kundendatenbank hinterlegten passen. Laut Sharpe glaubt eBay nicht, dass die "Betrüger" das Sicherheitssystem der Online-Auktion geknackt hätten, sondern dass sie sich die Daten per Phishing besorgten. Ein weiteres Statement hat eBay in seinem Chatter-Blog veröffentlicht. Mitglieder, deren Daten veröffentlicht wurden, informiert eBay telefonisch, damit sie ihre Accounts schützen können.
Erst vor zwei Wochen war bekannt geworden, dass Unberechtigte über eine Schwachstelle der PayPal-API an Informationen aus der eBay-Kundendatenbank gelangt waren. Anfang des Jahres war ein Hacker mit dem Decknamen Vladuz nach eigenen Angaben über eine Sicherheitslücke an Daten von eBay-Kunden gelangt. Auch damals behauptete eBay, der Hacker sei per Phishing an die Daten gelangt. Das erklärte aber nicht, wie Vladuz in den Besitz von Accounts gelangen konnte, die für eBay-Mitarbeiter reserviert waren.
Quelle : www.heise.de
-
Die Mitarbeiter der Verbraucherschutzseite falle-internet.de haben eine weitere Schwachstelle ausgemacht, mit der es möglich ist, an den eBay-Namen und den vollständigen Namen eines eBay-Mitglieds zu gelangen. Diesmal ist die Ursache für die Datenpanne beim E-Marketing-Dienstleister Emarsys zu finden, der im Rahmen einer eBay-Werbekampage den Kunden personalisierte Webseiten anzeigt. Darin ist im Kopf sowohl der Name als auch der Mitlgiedsname enthalten. Auf die Seite gelangt man durch den Klick auf die per Mail erhaltene URL, die eine einmalige ID enthält. Durch Manipulation der ID ist es jedoch möglich, Seiten aufzurufen, die für andere Mitglieder gedacht sind.
(http://www.heise.de/bilder/98117/0/1)
Sogar in der Werbeseite weist eBay darauf hin, dass die Angabe von Vor- und Nachname ein Echtheitsmerkmal sei.
Laut internet-falle.de weist die Datenpanne insbesondere deshalb besondere Brisanz auf, weil eBay seine Kunden regelmäßig darauf hinweist, dass die Nennung des Vor- und Nachnamens in E-Mails ein Hinweis auf deren Echtheit ist. Normalerweise hätten Versender von Spoof- oder Phishing-E-Mails darauf keinen Zugriff und würden allenfalls den Mitgliedsnamen kennen. eBay und Emarsys wurden von den Verbraucherschützern über die Schwachstelle informiert.
Zuletzt deckte falle-internet.de ein Problem in einer Web-API von PayPal auf, mit der es möglich war, neben dem Namen auch den Wohnort eines Mitglieds abzufragen. Betrüger nutzten dies, um ihren Opfern täuschend echte "Angebote an unterlegene Bieter" zu unterbreiten.
Quelle : www.heise.de
-
Ebay hat das gestern bekannt gewordene Datenleck offenbar geschlossen. Die personalisierten Werbeseiten anderer eBay-Mitglieder lassen sich nun nach Angaben von falle-internet.de nicht mehr durch Manipulation der ID in der URL abrufen. Stattdessen erhält man die Fehlermeldung "mail momentarily not availble, please try again later". Die Links in den an die eBay-Mitglieder versendeten Werbe-Nachrichten sollen aber nach wie vor funktionieren. Die Verbraucherschützer schließen daraus, dass eine vorhandene Sicherheitsfunktion, etwa eine Prüfziffernabfrage, zuvor nicht aktiviert war.
Die nun aktivierte Funktion verhindere jetzt zwar das automatisierte Auslesen, ändere jedoch nichts an der Tatsache, dass die Newsletter nach wie vor offen im Netz stehen. Ein offizielle Stellungnahme seitens eBay steht noch aus. Für einen Kommentar war in der Presseabteilung niemand zu erreichen.
Durch die Datenpanne war es möglich, auf personalisierte Newsletter im Rahmen einer eBay-Werbekampage zuzugreifen, die sowohl den vollen Namen als auch den Mitgliedsnamen enthielten. Auf die Seite gelangte man durch den Klick auf die per Mail erhaltene URL, die eine einmalige ID enthielt. Durch Manipulation der ID war es jedoch möglich, Seiten aufzurufen, die für andere Mitglieder gedacht waren.
Quelle : www.heise.de
-
Aktuell läuft wieder einmal eine größere Phishing-Welle durch eBay. Betroffen sind Verkäufer, die eine E-Mail mit etwa folgendem Inhalt bekommen: "Können Sie mir bitte erklären, wenn dieses das gleiche Artikel ist, das Sie verkaufen? Dieses ist die Seite:". Darauf folgt ein Link, der nicht zum eBay-Server führt, sondern hierhin:
http://cgi2-bay-de.xt.cx/WS/ISAPI/dll/W0QQitemZ110183318414QQihZ001QQcategoryZ1534.html.
Hinter der Adresse steckt kein Server auf den Weihnachtsinseln im Indischen Ozean, sondern der kostenlose, US-amerikanische Weiterleitungsdienst i67.org. Er verweist auf den Server eines deutschen Free-Hosting-Service, von wo die Phishing-Seiten geladen wurden. heise online setzte sich mit dem Betreiber in Verbindung, der die Seite sofort entfernte. Dabei erfuhren wir, dass die Seite vermutlich von Schweden aus eingestellt und seither etwa 650 Mal abgerufen wurde.
Die Phishing-Seite bildete das deutsche Login-Formular von eBay recht genau nach; lediglich der Hinweis "Schützen Sie Ihr Mitgliedskonto" unten rechts fehlte. Kein Wunder, dort steht normalerweise, wie die URL der Seite anfangen soll – natürlich anders als die oben genannte. Hier stellt sich die Frage, wie man auf eine solch plumpe Fälschung hereinfallen kann. Dazu tragen die Umstände bei: Man erhält eine E-Mail, die tatsächlich vom eBay-System versandt wurde, oder befindet sich sogar auf Mein eBay und findet dort die Nachricht von einem anderen Mitglied mit dem Link. Der führt auf eine Seite, die man als eBay-Nutzer gut kennt. Da fehlt dann oft das notwendige Misstrauen, um den Schwindel zu entdecken.
(http://www.heise.de/bilder/102247/0/0)
Ein Blick auf die URL entlarvt den Schwindel. Doch der setzt ein gewisses Maß an Misstrauen voraus.
Wer dann auf der Phishing-Seite Benutzername und Passwort eingab, schickte diese Daten zu einem Webhosting-Server von Yahoo, wo der Angreifer die Accounts offenbar einsammelte. Das Phishing-Opfer wurde zu einem spanischen Server weitergeleitet, auf dem die Nachbildung einer Auktionsseite auf eBay Kanada geladen wurde. Die Links in dieser Seite verwiesen auf den echten eBay-Server.
Von einem Opfer haben wir erfahren, dass mit Hilfe der gestohlenen Accountdaten zwei seiner Artikel mehrfach wiedereingestellt und 19 Phishing-Mails mit dem gleichen Link an andere Mitglieder verschickt wurden. Er hatte eBay am Montag um die Mittagszeit über den Vorfall informiert. Man half ihm recht schnell: Der Account wurde gesperrt, bis der Benutzer die geänderten Daten wieder zurückgesetzt und ein neues Passwort vergeben hatte, die vom Angreifer eingestellten Auktionen wurden gelöscht.
Doch obwohl er eBay darüber informierte, dass über seinen gestohlenen Account etliche Phishing-Mails verschickt wurden und dadurch weitere Mitglieder gefährdet sind, hat eBay das eigentliche Problem, nämlich die Phishingseite selbst, nicht in Angriff genommen. "Ich denke, dass eBay hier eine Sorgfaltspflicht hat und dieser in keiner Weise nachkommt", erklärte das betroffene Mitglied.
Quelle : www.heise.de
-
Die Website falle-internet.de warnt vor einer Betrugsmasche auf eBay, mit der aktuell offenbar scharenweise unterlegene Bieter abgezockt werden. Die Abzocker versuchen, gezielt Accounts von Verkäufern hochwertiger Ware zu kapern. Dazu nutzen sie bereits übernommene Accounts, um über das eBay-System anderen Verkäufern eine Frage zu stellen. Sie bezieht sich beispielsweise auf einen verlinkten Beitrag im eBay-Forum, in dem das Angebot angeblich als Betrug bezeichnet werde. Versucht ein empörter Verkäufer den Link zu öffnen, landet er auf einer Phishing-Seite, die der eBay-Anmeldeseite exakt nachempfunden ist. Offenbar vergisst so mancher in dieser Situation die gebotene Vorsicht und gibt seine Daten ein, die dann in der Sammlung der Betrüger landen.
Nun speichert eBay ja auf den Kundenrechnern Flash-Cookies, ohne die das Anlegen einer neuen Auktion trotz Kenntnis der Zugangsdaten nicht ohne Weiteres möglich ist. Doch die die Betrüger wollen unter dem gekaperten Account gar keine neuen Angebote einstellen, sondern warten, bis die aktuelle Auktion abgelaufen ist. Dann unterbreiten sie den unterlegenen Bietern ein Angebot. Dieser schon lange umstrittene eBay-Mechanismus ist dazu gedacht, dass Verkäufer, die sich mit dem Käufer nicht einigen können, die Ware an einen der anderen Interessenten verkaufen können. Dazu erstellt eBay dann ein Sofortkauf-Angebot mit dem Höchstgebot des jeweiligen Bieters, der den Link darauf mitgeteilt bekommt.
Dieser Mechanismus wurde schon früher von Betrügern genutzt, doch eBay hat versucht, dem durch Maßnahmen wie der Anonymisierung der Bieternamen einen Riegel vorgeschoben. Das nützt aber gar nichts, wenn die Betrüger mit den Account-Daten des echten Verkäufers agieren. Im Gegenteil: Etwa die Anonymisierung der Adressen durch die eBay-Mail-Funktionen erleichtert den Betrügern ihr Tun. Auch Mail-Dienste wie Web.de oder GMX, die die Echtheit von Mails aus dem eBay-System prüfen, werden durch gekaperte Accounts ausgetrickst und wiegen den Empfänger in falscher Sicherheit.
Für Mitglieder, die als unterlegene Bieter ein Angebot erhalten, ist nicht ohne Weiteres ersichtlich, ob dieses auch wirklich vom Verkäufer stammt. Spätestens wenn ihnen dann aber ein Geldtransferdienst wie Western Union oder MoneyGram als Zahlungsmethode vorgeschlagen wird, sollten sie vom Kauf Abstand nehmen. Diese Dienste sind zum weltweiten, schnellen Transfer von Geld an vertrauenswürdige Personen gedacht, eignen sich aber nicht zur Bezahlung von Internet-Einkäufen. Denn offenbar gelingt es Betrügern immer wieder, darüber anonym abzukassieren.
Im ersten Schritt sind es aber die Verkäufer, die durch leichtfertige Preisgabe ihrer Account-Daten den Betrügern in die Hände spielen. Für sie gilt: Keine Links in Mails oder Käuferanfragen nutzen, um die Login-Seite aufzurufen. Und auch wenn es schnell gehen muss: Immer die Adresszeile und die Einstufung des Server-Zertifikats durch den Browser überprüfen.
Quelle : www.heise.de
-
eBay-Betrügern ist es offenbar gelungen, eingestellte Warenbeschreibungen so zu manipulieren, dass sich beliebige Item-Nummern und die Mail-Adresse des Anbieters austauschen beziehungsweise überschreiben lassen. Damit ließen sich nicht nur Bieter in die Irre führen, auch eBays Maßnahmen zum Schutz vor betrügerischen Auktionen sollen sich so austricksen lassen.
Dazu nutzten die Betrüger eine Cross-Site-Scripting-Attacke in Zusammenhang mit der XML Binding Language (XBL), durch die sich Elemente in einem HTML-Dokument mit Skripten, Style-Sheets und anderen Objekten in einem HTML-Dokument auf einer anderen Webseite verknüpfen lassen. Allerdings ist noch offen, wo der Fehler genau zu suchen ist.
Zwar hat der Entwickler Cefn Hoile in der Fehlerdatenbank von Firefox eine Diskussion um eine Schwachstelle im Browser losgetreten, ohne die Möglichkeit, eigenen Code bei eBay einbinden zu können, würde der Angriff aber nicht funktionieren. So ist es möglich, Cascading-Style-Sheets (CSS) in eigenen Auktionen von anderen Webseiten nachzuladen, während sich JavaScript eigentlich nicht nachladen lassen sollte. Durch die Nutzung einer bestimmten Funktion soll das Nachladen und Ausführen verbotener Skripte aber dennoch möglich sein.
eBay will das Problem mittlerweile auf seinen Seiten behoben haben. Die Firefox-Entwickler überlegen, einen Patch zu entwickeln, der das Problem eindämmen soll. Allerdings weisen sie darauf hin, dass der Angriff keine Lücke im Browser ausnutze und etwa die Same-Origin-Policy nicht verletze. Vielmehr sei die Gefahr des Einbettens der Inhalte anderer Seiten seit Jahren bekannt. Nach Meinung der Entwickler müsse eBay einfach die nachgeladenen Inhalte besser filtern respektive prüfen.
Auch anderen Seiten, die das Einbetten von Code und Nachladen von CSS erlauben, sind von dem Problem betroffen. Zudem sollen auch die Internet-Explorer-Versionen 6 und 7 für derartige Angriffe anfällig sein.
Quelle : www.heise.de
-
Auf in die nächste Runde: Zurzeit landen wieder vermehrt Spammails in den Postfächern vieler Nutzer, die vorgeblich vom Online-Auktionshaus eBay stammen sollen - so auch in unserer Redaktion. Die als Rechnung getarnte E-Mail beinhaltet einen Link, der zu einer Phishing-Website führt.
Scheinbar deutscher Text
Der Text will den Anschein erwecken, er sei in deutscher Sprache formuliert. Was, wie meist, nicht wirklich gelungen ist. Zum einen lautet die Absenderadresse 'rechnnung@ebay.de', was schon misstrauisch machen sollte. Und neben den nicht korrekt dargestellten Umlauten, sollten jedem Empfänger auch eher unverständliche Formulierungen wie "Vai all'eBay" oder diese Aufforderung zum Folgen eines Links verdächtig erscheinen:
"Sie kцnnen Ihre Angaben jederzeit der Rechnung und den Zustand der bestehenden Kunden ьberprьfen, indem Sie auf diesen Link:"
Der angesprochenen Link "ibbweb-online.net" führt auf die Webseite "einloggen.altervista.org", die durch Layout und Titel durchaus den Eindruck einer offiziellen eBay-Seite erwecken kann. Dort darf sich der User wie gewohnt mit seinen Daten einloggen. Allerdings verschwinden die freizügig mitgeteilten Zugangsdaten dann in den Untiefen der Internet-Kriminalität.
(http://media.onlinekosten.de/old/bilder/2009/11/ebay_phishing.jpg)
Die betreffende Website ist inzwischen als Betrugsversuch gemeldet und ein entsprechender Warnhinweis erscheint dort. Das Sammeln von Zugangsdaten, nicht nur für Bankkonten, ist ein lukratives Geschäft, da sie leichtsinnigerweise oft auch für andere Logins genutzt werden und sich weiterverkaufen lassen.
Quelle : www.onlinekosten.de
-
(http://www.heise.de/imgs/18/6/9/7/1/8/2/2e2794dd381f98cb.png)
Durch eine XSS-Lücke bei eBay konnten Angreifer
das Cookie stehlen.
Durch eine schwere Sicherheitslücke bei eBay konnten Angreifer Cookies anderer Nutzer stehlen und somit die Kontrolle über fremde Accounts übernehmen. Auf einer Unterseite des Onlineauktionshauses wurde ein URL-Parameter nicht ausreichend überprüft und als Teil der Webseite wiedergegeben. Dadurch war Cross-Site-Scripting (XSS) möglich. Angreifer konnten eBay.de-Links generieren, bei deren Aufruf beliebiger JavaScript-Code im Kontext der eBay-Domain ausgeführt wurde.
Auf diese Weise war es möglich, das Cookie auszulesen und an einen fremden Server zu übermitteln. Entdeckt hat die Lücke der Leser Daniel Sparka. Als er die Lücke dem Unternehmen zuvor über deren Kontaktformular gemeldet hat, erhielt er von eBay lediglich eine Standardantwort mit dem Tipp, die temporären Dateien in seinem Browser zu löschen. Offensichtlich hat der Support-Mitarbeiter die gemeldete Lücke für ein Zugriffsproblem auf Kundenseite gehalten. Daraufhin wandte sich Sparka an heise Security.
eBay bestätigte gegenüber uns das Problem und nahm die betroffene Seite nach unserem Anruf innerhalb von 24 Stunden vom Netz. Die Pressesprecherin bestätigte zudem, dass Kunden kritische Sicherheitslücken lediglich über das allgemeine Kontaktformular melden können. Genauso wie es unser Leser erfolglos versucht hat. Einen direkten Ansprechpartner für Sicherheitsfragen gibt es nicht. Bleibt nur zu hoffen, dass der Entdecker der nächsten kritischen Lücke nicht wieder nur mit allgemeinen Browsertipps abgespeist wird.
Update: Ein Leser hat uns darauf aufmerksam gemacht, dass es zumindest auf der US-Seite von eBay eine Möglichkeit gibt, Sicherheitslücken zu melden. Hinweise auf Sicherheitsprobleme nimmt eBay in englischer Sprache unter securitydisclosure@ebay.com entgegen.
Quelle : www.heise.de
-
Das Online-Auktionshaus eBay hat zwei Schwachstellen auf seiner US-Website geschlossen. Bei einer der beiden handelt es sich um eine kritische SQL-Injection-Lücke im Verkäuferbereich, durch die man lesend und schreibend auf eine Datenbank des Unternehmens zugreifen konnte. Durch eine SQL-Injection-Lücke ist das Einschleusen von Datenbankbefehlen über unzureichend gefilterte HTTP-Parameter möglich.
Entdeckt hat die Lücke der Sicherheitsforscher David Vieira-Kurz, der eBay daraufhin vertraulich über das Sicherheitsproblem informierte. Nach Angaben des Forschers reagierte das Unternehmen recht zügig und schloss die Lücke nach 20 Tagen. Ob man durch die Lücke auf die Daten der eBay-Nutzer zugreifen konnte, hat der Forscher nicht ausprobiert, wie er gegenüber heise Security erklärte.
Bei der zweiten Lücke handelte es sich um eine Cross-Site-Scripting-Lücke, durch die die man JavaScript-Code auf dem eBay-Server platzieren konnte, der dann beim Aufruf einer bestimmten URL ausgeführt wurde. Ein Angreifer hätte dies etwa dazu missbrauchen können, um Zugangsdaten von eBay-Nutzern zu stehlen. Die Lücke wurde erstmals vor eineinhalb Wochen öffentlich dokumentiert. Am vergangenen Donnerstag gab das Unternehmen gegenüber The Register an, dass die Schwachstelle behoben sei.
Quelle: www.heise.de
-
Leser von heise online berichten derzeit bei Bezahlvorgängen auf eBay von Fehlermeldungen ihrer Web-Browser zu ungültigen Zertifikaten. Es stellte sich heraus, dass der Konzern anscheinend verschlafen hat, diese rechtzeitig auszutauschen, so dass die Browser jetzt zu Recht monieren, die Zertifikate der verschlüsselten Seiten seien nicht mehr gültig.
Ein kurzer Check von heise Security bestätigt, dass etwa der Server checkout.payments.ebay.de ein Zertifikat verwendet, das als
Not valid after: Nov 3 23:59:59 2013 GMT
gekennzeichnet und somit seit heute ungültig ist. Der Name des Servers legt nahe, dass er nur ganz am Ende einer Transaktion zum Einsatz kommt, an dem hoffentlich keine wirklich wichtigen Daten mehr übertragen werden. Genaueres wird aber erst eBay sagen können. Die im Zertifikat spezifizierten alternativen Namen wie checkout.payments.ebay.com und checkout.payments.ebay.ch legen nahe, dass das Zertifikat auch in anderen Ländern zum Einsatz kommt. Es steht zu hoffen, dass eBay diesen Fehler baldmöglichst behebt.
Quelle : www.heise.de
-
Unbekannte haben sich mit erbeuteten Mitarbeiter-Logins Zugriff auf eine Datenbank mit Kundendaten verschafft. Kreditkartendaten sollen nicht betroffen sein.
Nach einem Angriff auf eine Datenbank mit Zugangsdaten fordert eBay seine Nutzer auf, ihr Passwort zu ändern. Unbekannte hätten sich Zugangsdaten von Mitarbeitern verschafft und über das Firmennetz Zugriff auf eine Datenbank mit verschlüsselten Passwörtern und anderen Daten erlangt, teilte das Unternehmen am Mittwoch mit. Kreditkarten oder andere finanzrelevante Daten seien nicht betroffen.
Der Datenbankzugriff ist den Angaben zufolge Ende Februar oder Anfang März erfolgt, heißt es weiter. Die betroffene Datenbank habe die Kundennamen, E-Mail-Adresse, Postadresse, Telefonnummer, Geburtsdatum sowie das verschlüsselte Passwort enthalten. Kreditkartendaten seien nicht betroffen, diese würden separat und verschlüsselt gespeichert.
Keine Hinweise auf Missbrauch
Aufgefallen sind die Zugriffe mit den entwendeten Mitarbeiterzugängen vor zwei Wochen, teilte eBay weiter mit. Die Untersuchung des Vorfalls habe ergeben, dass die Unbekannten Zugang zu der betroffenen Datenbank erlangt hatten. Bisher gibt es laut eBay keine Hinweise auf unautorisierte Aktivitäten auf Kundenkonten oder Zugriff auf Finanzdaten.
eBay untersucht die Vorfälle weiter in Zusammenarbeit mit den Behörden und Sicherheitsexperten. Im Laufe des Tages wird eBay damit beginnen, seine Kunden per E-Mail zu informieren und sie bitten, ihr Passwort zu ändern. Sollte dieses Passwort auch auf anderen Websites eingesetzt werden, sollte es auch dort erneuert werden.
Quelle : www.heise.de
-
Die Sicherheitsprobleme bei eBay nehmen noch kein Ende. Erneut wurden ernstzunehmende Schwachstellen bekannt – und wieder weiß das Unternehmen seit Monaten Bescheid. Außerdem hat es damit begonnen, seine Nutzer zum Passwortwechsel zu zwingen.
Der deutsche Sicherheitsforscher Stefan Schurtz hat ausgerechnet im Registrierungsprozess von eBay zwei sogenannte Cross-Site-Scripting-Lücken (XSS) entdeckt, durch die ein Angreifer Javascript-Code in die Site einschleusen kann.
Dieser Code kann etwa das Sitzungs-Cookie angreifen und an einen anderen Server übertragen oder aber auch das Registrierungsformular umleiten. Schurtz gibt an, eBay bereits Ende Januar über das Kontaktformular für Security-Experten auf die Lücken aufmerksam gemacht zu haben.
heise Security konnte beide Lücken nachvollziehen und hat das Online-Auktionshaus kontaktiert. Laut einer ersten Stellungnahme ist dem Unternehmen zumindest einer der beiden Schwachstellen tatsächlich bekannt – man arbeite bereits daran, sie zu beseitigen.
Vorherige Lücke noch nicht geschlossen
In Arbeit ist auch noch eine Lösung für die von Michael Eissele entdeckte Schwachstelle, über die wir Ende vergangener Woche berichteten. Eissele ist es ebenfalls gelungen, JavaScript an eBays Filtermechanismen vorbei zu schleusen. In seinem Fall wird der Code sogar als Teil der Auktionsdaten bei eBay gespeichert (Persistent XSS). eBay erklärte gegenüber heise Security, dass die Lücke noch "in Begriff sei, beseitigt zu werden"
Passwort wechsel Dich
Die XSS-Lücken stehen laut derzeitigem Kenntnisstand in keiner Verbindung mit dem erfolgreichen Hacker-Angriff, bei dem bislang unbekannte Täter auf die Daten aller eBay-Nutzer zugreifen konnten. Das Unternehmen hat nach diesem Vorfall alle 145 Millionen Kunden zum Passwort-Wechsel aufgefordert. Wer das bisher nicht erledigt hat, wird nun gezwungen: Nach und nach werden die eBay-Nutzer nach dem Einloggen dazu aufgefordert, ein neues Passwort zu setzen – sofern nicht bereits geschehen.
Erst danach kann man die registrierungspflichtigen eBay-Dienste wieder wie gewohnt nutzen. Wer einwilligt, dem schickt eBay einen Bestätigungscode per Mail oder SMS. Alternativ kann man sich auch anrufen lassen, woraufhin ein Sprachcomputer den Code vorliest. Der Bestätigungscode ist zwingend notwendig, um die Passwortänderung durchführen zu können. Bei einem Test von heise Security endete der Prozess zwar mit einer Fehlermeldung, das Passwort wurde aber dennoch geändert.
Quelle : www.heise.de
-
Das wird mir langsam zu doof... (http://i.imgur.com/7DkZeG7.png) umpf
(http://i.imgur.com/21QCsOy.png)