Thema: eBay diverses ...

[kater]

bei mir geht jede Mail von den wenigen die ich öffne erst durch den Virenscanner. Gleichfalls jeder Download, egal woher. !00% gibt es nicht, aber was machbar ist sollte man tun.
kater

[SiLæncer]

Die Affäre Vladuz hat einen neuen Höhepunkt erreicht: Der Hacker, der nach eigenen Angaben auf Sicherheitsprobleme bei eBay aufmerksam machen will, war wieder im deutschen eBay-Forum aktiv geworden. Erneut fiel er dabei durch Beiträge mit rosa hinterlegten Überschriften auf. Das kennzeichnet Beiträge so genannter Pinkliner-Accounts mit Administrator-Rechten. Diesmal war der Account aber nicht gestohlen, sondern offensichtlich selbst angelegt. Denn der Name lautete "vladuzsgi". Dass eBay die Beiträge unverzüglich gelöscht hat, gibt Verschwörungstheorien neue Nahrung.

Ursprünglich deutete einiges darauf hin, dass Vladuz lediglich per Phishing in den Besitz etlicher eBay-Accounts gekommen war und diese geschickt nutzte, um Unruhe zu stiften. Es waren zwar Screenshots von angeblichen eBay-Administrationstools aufgetaucht, in denen Benutzerdaten gezeigt wurden, doch deren Echtheit blieb unbewiesen. Nun stellt sich aber die Frage, wie der Hacker zu einem Pinkliner-Account unter eigenem Namen kommen konnte.

Vladuz behauptet von sich selbst, Rumäne zu sein. Mal unterhält sich Vladuz in eBay-Foren mit den anwesenden Mitgliedern, mal gibt er per IRC Auskunft zu seinen Zielen. Inzwischen wird ihm in etlichen Blogs jede Ungereimtheit zugeschrieben, die bei eBay auffällt: So waren in einigen Auktionen Änderungen mit dem Inhalt "zudalv", also Vladuz rückwärts geschrieben, und einem Bild aufgetaucht. Außerdem gab es andere Auktionen, in denen offenbar ein Betrüger nachträglich eine E-Mail-Adresse eingebaut hatte, unter der man einen Sofortkauf-Preis erfragen sollte.

Am 20. Februar berichtete The Register von einem Gespräch mit dem eBay-Sprecher Hani Durzy. Der habe eingeräumt, dass Vladuz eine einstellige Zahl von E-Mail-Accounts in seinen Besitz gebracht habe, die für Mitarbeiter im Kundenservice reserviert seien. Durzy habe aber erklärt, dass die Server für diese Accounts keine Verbindung zu dem Netz hätten, in dem sich Benutzerdatenbanken und vertrauliche Unternehmensinformationen befinden. Außerdem sagte er, eBay kenne die Identität von Vladuz und habe offizielle Stellen in den USA und Rumänien informiert. Vladuzsgi kommentierte die Aussagen des eBay-Sprechers heute Morgen um halb vier im eBay-Forum: "Durzy is full of shit. He lies all the time."

Die Ereignisse ergeben kein klares Bild. Es ist recht wahrscheinlich, dass mittlerweile mehrere Personen unter dem publikumswirksamen Pseudonym Vladuz auftreten. Viele der kursierenden "Beweise" sind fragwürdig und belegen nicht eindeutig, welche Rechte im eBay-System sich der oder die Hacker verschafft haben.

Quelle : www.heise.de

[SiLæncer]

Einmal mehr werden vorgeblich von Ebay kommende Mails verbreitet, in denen eine angebliche Adressänderung der Empfänger als Aufhänger dient. Der Anhang der Mails enthält ein Trojanisches Pferd.

Bereits seit gestern Abend werden Spam-artig Mails verschickt, die vorgeblich von Ebay stammen und eine angebliche Änderung der Adresse des Mail-Empfängers zum Inhalt haben. Die mit gefälschten Absenderangaben versandten Mails dienen jedoch nur der Verbreitung eines Trojanischen Pferds. Praktisch identische Mails wurden bereits im März in Umlauf gebracht.

Die Mails kommen mit einem Betreff wie "Ebay: Sie haben Ihre Email Adresse geanderter", "Hinweis zu geanderter E-Mail-Adresse Ebay" oder "Ihre Ebay E-Mail wurde geandert" und verschiedenen Ebay-Adressen als Absenderangabe. Der Anhang besteht aus einem etwa 8 KB großen ZIP-Archiv mit variablen Namen wie "51702.zip" oder "65170791.zip" und enthält eine Programmdatei mit doppelter Endung, etwa "document.doc.exe" oder "ebay.doc.exe".

Wird diese EXE-Datei ausgepackt und aufgerufen, lädt sie eine weitere EXE-Datei aus dem Internet nach, ein Trojanisches Pferd aus der "Bzub"-Familie. Dieses legt eine Datei "ipv6monl.dll" im System32-Verzeichnis von Windows ab und registriert sie als BHO (Browser Helper Object) im Internet Explorer. Damit können Zugangsdaten ausspioniert werden, die in Web-Formulare eingegeben werden, etwa beim Online-Banking.

Quelle : www.pcwelt.de

[kater]

Hallo,
hatte gestern ne Mail von wewewe@ebay de, ebay Support:Betreff: Ihr Konto mußte gesperrt werden.
Überprüfung bei ebay ergab, ne Fälschung.
Also, wer sowas bekommt, nicht öffnen und auf Mein ebay die eingegangenen Hinweise prüfen.
kater

[SiLæncer]

Ein neuer Betrugstrick kann Ebay-Käufer teuer zu stehen kommen. Die Täter können direkt auf interne Datenbanken des Auktionshauses zugreifen und sich so E-Mail-Adressen und Daten über den Wohnort aktuell Bietender verschaffen. Die werden dann gezielt angesprochen - und ausgenommen.

Der Mechanismus funktioniert beängstigend gut. Und er macht es möglich, völlig automatisiert sehr echt aussehende E-Mails zu verschicken, die unterlegenen Bietern nach verlorener Auktion Hoffnung machen: "Ich habe gesehen, dass Sie bei meiner Auktion mitgeboten haben. Umständen zufolge, die sich meiner Kontrolle entziehen, muss ich die Ware so schnell wie möglich verkaufen. Ich habe mir erlaubt, eine direkte Ebay-Transaktion unter Squaretrader-Überwachung einzuleiten." Die Ware müsse nur noch bezahlt werden. Die Post kommt an die eigene E-Mail-Adresse - und wenn man dem Link zur "Zahlungsabwicklung" folgt, steht dort schon der eigene Wohnort und die eigene Postleitzahl.

Wer auf die Lockmail und die gefälschte Seite hereinfällt, die zwar täuschend echt aussieht, aber eine für Ebay eher merkwürdige URL hat - der wird aufgefordert, die glücklich erstandene Ware mit einer Western-Union-Transaktion zu bezahlen. So kommt das Geld der ahnungslosen vermeintlichen Käufer zwar bei den Betrügern an, aber es kann nicht nachvollzogen werden, wo es hingegangen ist.

Mit einem Skript, das auf einer offen zugänglichen Webseite für jedermann abrufbar ist, sind die notwendigen Daten für solche Aktionen kinderleicht zu bekommen. Man braucht nur die Transaktionsnummer einer bestimmten Auktion in ein Fenster zu kopieren, auf "Start" zu klicken, schon werden die Betrüger-E-Mails an die unterlegenen Bieter geschickt. Das dürfte gar nicht möglich sein, denn die Mail-Adressen sollten innerhalb des Ebay-Systems nicht offengelegt werden.

Betrugssystem von Nutzern aufgedeckt

Der Betrügertrick kommt aber nicht nur an die E-Mail-Adressen heran, sondern ordnet einem Ebay-Namen eines ahnungslosen Opfers auch noch dessen Wohnort und Postleitzahl zu. Die ganze Kette steht jedem, der die richtigen Web-Adressen kennt, vollkommen offen.

Aufgedeckt haben den Betrugsmechanismus die Mitglieder der privaten Initiative Falle-Internet.de. Die Gruppe besteht aus Nutzern, die sich über Ebay-Foren kennengelernt haben und nun gemeinsam im Netz auf Verbrecherjagd unterwegs sind, um aufzuklären und vor Betrugsversuchen zu warnen.

Nach Einschätzung von Falle-Internet.de gibt es verschiedene Betrügergruppen, die auf die offen zur Verfügung stehenden Skripte zugreifen. Die Köder-Mails würden in verschiedenen Sprachen verschickt. Die Betrüger versuchten einander bei hochpreisigen Auktionen so verzweifelt zu überflügeln, dass die vermeintlichen Sofort-Kauf-Angebote noch vor dem Ende der Auktionen versandt werden.

Ebay Deutschland wartet auf Anweisungen aus den USA

Den Zweitplatzierten einer Auktion zu kontaktieren, um ihm ein vermeintlich lohnendes, in Wirklichkeit aber betrügerisches Angebot zu machen, sei "eine gängige Betrugspraxis", sagt ein Mitglied von Falle-Internet.de. Die automatisierte und flächendeckende Ansprache solcher unterlegenen Bieter wird aber erst durch offenkundige Lücken im Ebay-Sicherheitssystem möglich.

Bei Ebay ist man sich der Lücke offenbar durchaus bewusst - auch weil in den Foren des Auktionshauses schon heftig darüber debattiert wird. Eine Stellungnahme oder gar Ankündigung von Gegenmaßnahmen gibt es bislang nicht. Aus der Deutschland-Zentrale erfuhr SPIEGEL ONLINE am Montagabend nur, man warte auf Nachricht aus dem US-Mutterhaus.

Für Ebay-Nutzer ergibt sich aus der Betrugsmasche eine schlichte Vorsichtsmaßnahme. Wenn Sie ein Angebot erhalten, das angeblich von einem Anbieter stammt, von dem Sie eben etwas ersteigern wollten: Ignorieren Sie es am besten, oder gehen Sie zumindest sehr vorsichtig damit um. Kontaktieren Sie den tatsächlichen Anbieter über die Ebay-interne Kommunikationsfunktion und fragen Sie ihn, ob er Sie tatsächlich angeschrieben hat. Wenn nicht, melden Sie den Vorfall Ebay.

Quelle : www.spiegel.de

[SiLæncer]

Zwei Wochen lang wurden Ebay-Kunden mit betrügerischen Offerten perfider Krimineller beschickt. Die dafür nötigen Adressen hatten sie aus den Datenbanken von Ebay selbst gefischt - eine erhebliche Sicherheitslücke. Jetzt ist das Leck zumindest bei Geboten ab 100 Euro gestopft .

Wenige Stunden, nachdem SPIEGEL ONLINE über eine klaffende Sicherheitslücke bei Ebay berichtete, ist es dem Unternehmen nach eigenen Angaben gelungen, das Leck zu stopfen.

Über mindestens zwei Wochen hatten unbekannte Cyberkriminelle Adressdaten unterlegender Bieter in Online-Auktionen gesammelt, um ihnen umgehend betrügerische Offerten zu machen. Im Namen der Verkäufer offerierten sie, die Ware doch noch an die unterlegenen Bieter verkaufen zu wollen und forderten sie zur Zahlung auf.

Eine von zahlreichen Betrugsmethoden, die auf der Online-Auktionsplattform Ebay seit Jahren bekannt sind. Das Phänomen nennt sich dort "Fake SCO", was für "gefälschte Zweite-Chance-Offerte" steht. Neu und für viele Ebay-Nutzer schockierend war allerdings das Ausmaß des Betrugs-Mail-Versandes in den letzten Wochen.

Denn spätestens seit dem 28. August gab es ein im Internet zugängliches und möglicherweise gleich von mehreren Betrügergruppen genutztes Skript, mit dem sich die Identitäten und E-Mail-Adressen unterlegener Bieter in Auktionen automatisch einsammeln und direkt mit Betrugsmails beschicken ließen. Das Skript war so eingestellt, dass es sich für die Betrüger auch lohnte: Gebote unter 100 Euro wurden grundsätzlich ignoriert.

Späte Reaktion, dann aber zackig

Wohlgemerkt "wurden" - denn seit heute morgen ist nicht nur das Skript nicht mehr unter der von SPIEGEL ONLINE noch am Montag überprüften Adresse zu finden. Der ganze Nutzeraccount, auf dem es hinterlegt war, wurde gelöscht: Das Skript lag auf dem Server einer Schule in Luxemburg, abgespeichert auf den Seiten eines bestimmten Schülers. Dessen Account, in den sich die Täter möglicherweise eingehackt hatten, ist über Nacht verschwunden.

Somit lassen sich Ebays Angaben, das Problem auch grundsätzlich gelöst zu haben, anhand des in den letzten Wochen so erfolgreichen Skriptes derzeit nicht mehr überprüfen. Nach Veröffentlichung eines Berichtes über die Betrugsmasche bei SPIEGEL ONLINE am Montagabend warnte Ebay seine Kunden per "Marktmitteilung".

Rund vier Stunden später hatte der Auktionator eine Lösung implementiert, die er offenbar für hinreichend hält, eine ähnliche Betrugs-Mail-Welle in Zukunft zu verhindern: "Ab sofort werden wir Mitgliedsnamen der Bieter ab einem Gebot von 100 Euro und mehr nicht mehr öffentlich sichtbar darstellen. In diesem Fall sind die Mitgliedsnamen der Bieter in der Gebotsübersicht in Zukunft nur noch für den Verkäufer selbst sichtbar."

Das funktioniert, weil man Daten über Nutzer selbst über eine Sicherheitslücke nur dann abrufen kann, wenn man weiß, wer diese Nutzer sind. Der SCO-Betrug basiert aber auf dem Grundprinzip, den Teilnehmern ganz spezifischer Auktionen gezielte Angebote zu machen.

Diese Umstellung nahm Ebay bereits gegen 22.30 Uhr am Montag vor. In Kombination mit der Schließung des Nutzeraccounts, auf dem das Hackerscript hinterlegt war, dürfte die aktuelle Betrugs-Mail-Welle der letzten Wochen somit beendet sein. Bereits kurz nach Mitternacht wiesen Ebay-Nutzer nach, dass es zwar nach wie vor möglich ist, über die API-Schnittstelle des Ebay-Systems Daten über Ebay-Aktionsteilnehmer abzufischen, nicht mehr aber bei den anonymisierten Auktionen ab Biethöhen von 100 Euro.

Auch dieses Problem ist Ebay allerdings bekannt. Am Dienstagvormittag versicherte Ebay-Sprecher Nerses Chopurian im Gespräch mit SPIEGEL ONLINE, dass der nun identifizierte Schwachpunkt in der API-Schnittstelle laut Versicherung der Ebay-Techniker in den USA auch grundsätzlich für alle Auktionen bereinigt würde. Chopurian: "Das Problem wird definitiv im Laufe des heutigen Tages gelöst."

Auktionsbetrug: Ein Dauerproblem

Das Problem des Betruges in Auktionen ist mit technischen Mitteln aber nicht zu lösen: Der derzeit stärkste Betrugstrend bei Ebay täuscht zögerlichen Kunden bei hochpreisigen Versteigerungen besondere Sicherheit vor, indem ein Treuhänder-Service zwischengeschaltet wird. Seit Monaten gibt es eine Welle von Treuhand-Betrugsfällen, bei denen solche Services mitunter nur für Tage entstehen - nur um Gelder aus betrügerischen Auktionen einzusammeln.

Solchen Arten des Warenbetrugs hat Ebay wenig mehr entgegen zu setzen als Aufklärung seiner Kunden per FAQ, Sicherheitsregeln und Warn-E-Mails, denn die Täter verfallen ständig auf neue Tricks. Allein die schiere Größe des Marktplatzes verhindert, hier alle Betrügereien direkt unterbinden zu können, zumal die meisten Delikte nicht mit technischen Mitteln durchgeführt werden, sondern mit dem klassischen Instrumentarium des Trickbetrugs. Dass sich Betrüger einen Account anlegen, nicht existente Ware verkaufen, abkassieren und verschwinden, ist nicht zu verhindern: Hier hilft wenig mehr als der ständige Verweis auf die Vorsichtsmaßnahmen bei solchen Formen virtuellen Handels.

In der Polizeilichen Kriminalstatistik 2006 des Bundeskriminalamtes heißt es: "Bei über vier Fünfteln der Fälle mit Internet als Tatmittel handelt es sich um Betrugsdelikte (82,6 %). Besonders hervorzuheben ist hierbei der Warenbetrug, auf den allein mehr als die Hälfte (52,1 %) aller Fälle mit Internet als Tatmittel entfielen."

Lesen und Denken hilft

Erfasst - im Klartext: angezeigt - wurden im letzten Jahr rund 86.000 Warenbetrugsdelikte per Internet, die Dunkelziffer dürfte allerdings enorm sein. Ein großer Teil dürfte dabei auf Ebay entfallen, was dem Unternehmen grundsätzlich aber nicht vorzuwerfen ist: Wer einen Flohmarkt betreibt, muss mit schrägen Vögeln leben - und kann ihren Umtrieben letztlich nur mit Regeln begegnen.

Die gibt es bei Ebay, und ihre Befolgung hätte sogar Schädigungen durch das gestern Nacht geschlossene Sicherheitsleck verhindert: Die Statuten von Ebay verbieten ausdrücklich, Zahlungen per Western Union - wie dies die Betrüger versuchten - abzuwickeln. Einige Ebay-Kunden pflegen im Forum des Auktionshauses, wo seit Jahren über solche Betrugsmethoden debattiert wird, inzwischen einen etwas müden "Selbst Schuld!"-Fatalismus: "Wer lesen kann", schrieb da einer schon vor Wochen, "ist klar im Vorteil."

Grundsätzlich ist das wahr, aber wer liest schon die Hausordnung eines Flohmarktes? Der Kritik, dass die Systeme, die eigene Kundschaft vor akuten Betrugsaktionen zu warnen, nicht hinreichend sind, muss sich Ebay immer wieder stellen. Ebay-Sprecher Nerses Chopurian hat für solche Fälle schon einen regelrechten Reflex ausgebildet: den Appell an "den gesunden Internet-Verstand". Ganz Unrecht hat er da nicht.

Quelle : www.spiegel.de

[SiLæncer]

Nach Angaben der Verbraucherschutzseite falle-internet.de war offenbar keine Lücke bei eBay die Ursache für das kürzlich bekannt gewordene missbräuchliche Auslesen der Kundendatenbank, sondern eine Schwachstelle bei der eBay-Tochter PayPal. Betrüger hatten die Daten benutzt, um ihren Opfern ein gefälschtes "Angebot an den unterlegenen Bieter" zu unterbreiten und Kaufwilligen per Sofort-Kauf und Abwicklung via Western Union das Geld aus der Tasche zu ziehen.

Mitarbeiter von falle-internet.de wollen zwei von den Betrügern zum Auslesen der Daten benutzte Skripte analysiert haben. Kernstück der Skripte sollen Aufrufe der PayPal-API in der Form (Zeile im Original obfusziert)

$url = file_get_contents('http://www.paypal.com/cgi-xxx/
webscr?cmd=_exxy-intxxxxxed-regxxxxxxion&link=0&NBO=1 &ebay_id=' .$_GET[buyer]); 

sein, mit denen die eBay-Datenbank bei Angabe eines Mitgliedsnamen Postleitzahl, Wohnort und Mail-Adresse eines Opfers zurückliefert.

Sollten sich die Vorwürfe bewahrheiten, wäre dies eine äußerst prekäre Situation für PayPal, da der Online-Bezahldienst erst vor zwei Monaten eine EU-Banklizenz erworben hat. Für Geldinstitute dürften aber strenge Sicherheitsvorgaben gelten. Welche Konsequenzen eine mögliche Schwachstelle hätte, ist unklar. In eBay-Foren wird darüber gemunkelt, dass eBay nach Bekanntwerden der Lücke so schnell und unumwunden die Schuld auf sich nahm, um PayPal zu schützen. Zudem wirft falle-internet.de die Frage auf, warum PayPal überhaupt auf eBay-Daten zugreifen kann und ob dies mit den geltenden Datenschutzbestimmungen im Einklang steht. In eBays "Einwilligung in die Verarbeitung meiner personenbezogenen Daten" gibt es aber ein Passage, die anderen eBay-Gesellschaften den Zugriff auf Kundendaten einräumt – allerdings nur in Zusammenhang mit finanziellen Transaktionen.

Quelle : www.heise.de

[SiLæncer]

Ein Unbekannter hat die persönlichen Daten von rund 1200 eBay-Mitgliedern offenbar unter deren eigenen Accounts veröffentlicht. Pikanterweise tauchten die Daten im Trust&-Safety-Forum der Online-Auktion auf. Danach verging einige Zeit, bis eBay sie in Zusammenarbeit mit seinem Dienstleister LiveWorld entfernt hatte. Darüber gerieten etliche Betroffene in Wut.

In den Datensätzen befanden sich auch Zahlenfolgen, die wie Kreditkartennummern aussahen, aber nach Angaben von eBay-Sprecherin Nichola Sharpe nicht zu den in der Kundendatenbank hinterlegten passen. Laut Sharpe glaubt eBay nicht, dass die "Betrüger" das Sicherheitssystem der Online-Auktion geknackt hätten, sondern dass sie sich die Daten per Phishing besorgten. Ein weiteres Statement hat eBay in seinem Chatter-Blog veröffentlicht. Mitglieder, deren Daten veröffentlicht wurden, informiert eBay telefonisch, damit sie ihre Accounts schützen können.

Erst vor zwei Wochen war bekannt geworden, dass Unberechtigte über eine Schwachstelle der PayPal-API an Informationen aus der eBay-Kundendatenbank gelangt waren. Anfang des Jahres war ein Hacker mit dem Decknamen Vladuz nach eigenen Angaben über eine Sicherheitslücke an Daten von eBay-Kunden gelangt. Auch damals behauptete eBay, der Hacker sei per Phishing an die Daten gelangt. Das erklärte aber nicht, wie Vladuz in den Besitz von Accounts gelangen konnte, die für eBay-Mitarbeiter reserviert waren.

Quelle : www.heise.de

[SiLæncer]

Die Mitarbeiter der Verbraucherschutzseite falle-internet.de haben eine weitere Schwachstelle ausgemacht, mit der es möglich ist, an den eBay-Namen und den vollständigen Namen eines eBay-Mitglieds zu gelangen. Diesmal ist die Ursache für die Datenpanne beim E-Marketing-Dienstleister Emarsys zu finden, der im Rahmen einer eBay-Werbekampage den Kunden personalisierte Webseiten anzeigt. Darin ist im Kopf sowohl der Name als auch der Mitlgiedsname enthalten. Auf die Seite gelangt man durch den Klick auf die per Mail erhaltene URL, die eine einmalige ID enthält. Durch Manipulation der ID ist es jedoch möglich, Seiten aufzurufen, die für andere Mitglieder gedacht sind.

Sogar in der Werbeseite weist eBay darauf hin, dass die Angabe von Vor- und Nachname ein Echtheitsmerkmal sei.

Laut internet-falle.de weist die Datenpanne insbesondere deshalb besondere Brisanz auf, weil eBay seine Kunden regelmäßig darauf hinweist, dass die Nennung des Vor- und Nachnamens in E-Mails ein Hinweis auf deren Echtheit ist. Normalerweise hätten Versender von Spoof- oder Phishing-E-Mails darauf keinen Zugriff und würden allenfalls den Mitgliedsnamen kennen. eBay und Emarsys wurden von den Verbraucherschützern über die Schwachstelle informiert.

Zuletzt deckte falle-internet.de ein Problem in einer Web-API von PayPal auf, mit der es möglich war, neben dem Namen auch den Wohnort eines Mitglieds abzufragen. Betrüger nutzten dies, um ihren Opfern täuschend echte "Angebote an unterlegene Bieter" zu unterbreiten.

Quelle : www.heise.de

[SiLæncer]

Ebay hat das gestern bekannt gewordene Datenleck offenbar geschlossen. Die personalisierten Werbeseiten anderer eBay-Mitglieder lassen sich nun nach Angaben von falle-internet.de nicht mehr durch Manipulation der ID in der URL abrufen. Stattdessen erhält man die Fehlermeldung "mail momentarily not availble, please try again later". Die Links in den an die eBay-Mitglieder versendeten Werbe-Nachrichten sollen aber nach wie vor funktionieren. Die Verbraucherschützer schließen daraus, dass eine vorhandene Sicherheitsfunktion, etwa eine Prüfziffernabfrage, zuvor nicht aktiviert war.

Die nun aktivierte Funktion verhindere jetzt zwar das automatisierte Auslesen, ändere jedoch nichts an der Tatsache, dass die Newsletter nach wie vor offen im Netz stehen. Ein offizielle Stellungnahme seitens eBay steht noch aus. Für einen Kommentar war in der Presseabteilung niemand zu erreichen.

Durch die Datenpanne war es möglich, auf personalisierte Newsletter im Rahmen einer eBay-Werbekampage zuzugreifen, die sowohl den vollen Namen als auch den Mitgliedsnamen enthielten. Auf die Seite gelangte man durch den Klick auf die per Mail erhaltene URL, die eine einmalige ID enthielt. Durch Manipulation der ID war es jedoch möglich, Seiten aufzurufen, die für andere Mitglieder gedacht waren.

Quelle : www.heise.de

[SiLæncer]

Aktuell läuft wieder einmal eine größere Phishing-Welle durch eBay. Betroffen sind Verkäufer, die eine E-Mail mit etwa folgendem Inhalt bekommen: "Können Sie mir bitte erklären, wenn dieses das gleiche Artikel ist, das Sie verkaufen? Dieses ist die Seite:". Darauf folgt ein Link, der nicht zum eBay-Server führt, sondern hierhin:

Code: [Auswählen]

http://cgi2-bay-de.xt.cx/WS/ISAPI/dll/W0QQitemZ110183318414QQihZ001QQcategoryZ1534.html.
Hinter der Adresse steckt kein Server auf den Weihnachtsinseln im Indischen Ozean, sondern der kostenlose, US-amerikanische Weiterleitungsdienst i67.org. Er verweist auf den Server eines deutschen Free-Hosting-Service, von wo die Phishing-Seiten geladen wurden. heise online setzte sich mit dem Betreiber in Verbindung, der die Seite sofort entfernte. Dabei erfuhren wir, dass die Seite vermutlich von Schweden aus eingestellt und seither etwa 650 Mal abgerufen wurde.

Die Phishing-Seite bildete das deutsche Login-Formular von eBay recht genau nach; lediglich der Hinweis "Schützen Sie Ihr Mitgliedskonto" unten rechts fehlte. Kein Wunder, dort steht normalerweise, wie die URL der Seite anfangen soll – natürlich anders als die oben genannte. Hier stellt sich die Frage, wie man auf eine solch plumpe Fälschung hereinfallen kann. Dazu tragen die Umstände bei: Man erhält eine E-Mail, die tatsächlich vom eBay-System versandt wurde, oder befindet sich sogar auf Mein eBay und findet dort die Nachricht von einem anderen Mitglied mit dem Link. Der führt auf eine Seite, die man als eBay-Nutzer gut kennt. Da fehlt dann oft das notwendige Misstrauen, um den Schwindel zu entdecken.

Ein Blick auf die URL entlarvt den Schwindel. Doch der setzt ein gewisses Maß an Misstrauen voraus.

Wer dann auf der Phishing-Seite Benutzername und Passwort eingab, schickte diese Daten zu einem Webhosting-Server von Yahoo, wo der Angreifer die Accounts offenbar einsammelte. Das Phishing-Opfer wurde zu einem spanischen Server weitergeleitet, auf dem die Nachbildung einer Auktionsseite auf eBay Kanada geladen wurde. Die Links in dieser Seite verwiesen auf den echten eBay-Server.

Von einem Opfer haben wir erfahren, dass mit Hilfe der gestohlenen Accountdaten zwei seiner Artikel mehrfach wiedereingestellt und 19 Phishing-Mails mit dem gleichen Link an andere Mitglieder verschickt wurden. Er hatte eBay am Montag um die Mittagszeit über den Vorfall informiert. Man half ihm recht schnell: Der Account wurde gesperrt, bis der Benutzer die geänderten Daten wieder zurückgesetzt und ein neues Passwort vergeben hatte, die vom Angreifer eingestellten Auktionen wurden gelöscht.

Doch obwohl er eBay darüber informierte, dass über seinen gestohlenen Account etliche Phishing-Mails verschickt wurden und dadurch weitere Mitglieder gefährdet sind, hat eBay das eigentliche Problem, nämlich die Phishingseite selbst, nicht in Angriff genommen. "Ich denke, dass eBay hier eine Sorgfaltspflicht hat und dieser in keiner Weise nachkommt", erklärte das betroffene Mitglied.

Quelle : www.heise.de

[SiLæncer]

Die Website falle-internet.de warnt vor einer Betrugsmasche auf eBay, mit der aktuell offenbar scharenweise unterlegene Bieter abgezockt werden. Die Abzocker versuchen, gezielt Accounts von Verkäufern hochwertiger Ware zu kapern. Dazu nutzen sie bereits übernommene Accounts, um über das eBay-System anderen Verkäufern eine Frage zu stellen. Sie bezieht sich beispielsweise auf einen verlinkten Beitrag im eBay-Forum, in dem das Angebot angeblich als Betrug bezeichnet werde. Versucht ein empörter Verkäufer den Link zu öffnen, landet er auf einer Phishing-Seite, die der eBay-Anmeldeseite exakt nachempfunden ist. Offenbar vergisst so mancher in dieser Situation die gebotene Vorsicht und gibt seine Daten ein, die dann in der Sammlung der Betrüger landen.

Nun speichert eBay ja auf den Kundenrechnern Flash-Cookies, ohne die das Anlegen einer neuen Auktion trotz Kenntnis der Zugangsdaten nicht ohne Weiteres möglich ist. Doch die die Betrüger wollen unter dem gekaperten Account gar keine neuen Angebote einstellen, sondern warten, bis die aktuelle Auktion abgelaufen ist. Dann unterbreiten sie den unterlegenen Bietern ein Angebot. Dieser schon lange umstrittene eBay-Mechanismus ist dazu gedacht, dass Verkäufer, die sich mit dem Käufer nicht einigen können, die Ware an einen der anderen Interessenten verkaufen können. Dazu erstellt eBay dann ein Sofortkauf-Angebot mit dem Höchstgebot des jeweiligen Bieters, der den Link darauf mitgeteilt bekommt.

Dieser Mechanismus wurde schon früher von Betrügern genutzt, doch eBay hat versucht, dem durch Maßnahmen wie der Anonymisierung der Bieternamen einen Riegel vorgeschoben. Das nützt aber gar nichts, wenn die Betrüger mit den Account-Daten des echten Verkäufers agieren. Im Gegenteil: Etwa die Anonymisierung der Adressen durch die eBay-Mail-Funktionen erleichtert den Betrügern ihr Tun. Auch Mail-Dienste wie Web.de oder GMX, die die Echtheit von Mails aus dem eBay-System prüfen, werden durch gekaperte Accounts ausgetrickst und wiegen den Empfänger in falscher Sicherheit.

Für Mitglieder, die als unterlegene Bieter ein Angebot erhalten, ist nicht ohne Weiteres ersichtlich, ob dieses auch wirklich vom Verkäufer stammt. Spätestens wenn ihnen dann aber ein Geldtransferdienst wie Western Union oder MoneyGram als Zahlungsmethode vorgeschlagen wird, sollten sie vom Kauf Abstand nehmen. Diese Dienste sind zum weltweiten, schnellen Transfer von Geld an vertrauenswürdige Personen gedacht, eignen sich aber nicht zur Bezahlung von Internet-Einkäufen. Denn offenbar gelingt es Betrügern immer wieder, darüber anonym abzukassieren.

Im ersten Schritt sind es aber die Verkäufer, die durch leichtfertige Preisgabe ihrer Account-Daten den Betrügern in die Hände spielen. Für sie gilt: Keine Links in Mails oder Käuferanfragen nutzen, um die Login-Seite aufzurufen. Und auch wenn es schnell gehen muss: Immer die Adresszeile und die Einstufung des Server-Zertifikats durch den Browser überprüfen.

Quelle : www.heise.de

[SiLæncer]

eBay-Betrügern ist es offenbar gelungen, eingestellte Warenbeschreibungen so zu manipulieren, dass sich beliebige Item-Nummern und die Mail-Adresse des Anbieters austauschen beziehungsweise überschreiben lassen. Damit ließen sich nicht nur Bieter in die Irre führen, auch eBays Maßnahmen zum Schutz vor betrügerischen Auktionen sollen sich so austricksen lassen.

Dazu nutzten die Betrüger eine Cross-Site-Scripting-Attacke in Zusammenhang mit der XML Binding Language (XBL), durch die sich Elemente in einem HTML-Dokument mit Skripten, Style-Sheets und anderen Objekten in einem HTML-Dokument auf einer anderen Webseite verknüpfen lassen. Allerdings ist noch offen, wo der Fehler genau zu suchen ist.

Zwar hat der Entwickler Cefn Hoile in der Fehlerdatenbank von Firefox eine Diskussion um eine Schwachstelle im Browser losgetreten, ohne die Möglichkeit, eigenen Code bei eBay einbinden zu können, würde der Angriff aber nicht funktionieren. So ist es möglich, Cascading-Style-Sheets (CSS) in eigenen Auktionen von anderen Webseiten nachzuladen, während sich JavaScript eigentlich nicht nachladen lassen sollte. Durch die Nutzung einer bestimmten Funktion soll das Nachladen und Ausführen verbotener Skripte aber dennoch möglich sein.

eBay will das Problem mittlerweile auf seinen Seiten behoben haben. Die Firefox-Entwickler überlegen, einen Patch zu entwickeln, der das Problem eindämmen soll. Allerdings weisen sie darauf hin, dass der Angriff keine Lücke im Browser ausnutze und etwa die Same-Origin-Policy nicht verletze. Vielmehr sei die Gefahr des Einbettens der Inhalte anderer Seiten seit Jahren bekannt. Nach Meinung der Entwickler müsse eBay einfach die nachgeladenen Inhalte besser filtern respektive prüfen.

Auch anderen Seiten, die das Einbetten von Code und Nachladen von CSS erlauben, sind von dem Problem betroffen. Zudem sollen auch die Internet-Explorer-Versionen 6 und 7 für derartige Angriffe anfällig sein.

Quelle : www.heise.de

[SiLæncer]

Auf in die nächste Runde: Zurzeit landen wieder vermehrt Spammails in den Postfächern vieler Nutzer, die vorgeblich vom Online-Auktionshaus eBay stammen sollen - so auch in unserer Redaktion. Die als Rechnung getarnte E-Mail beinhaltet einen Link, der zu einer Phishing-Website führt.

Scheinbar deutscher Text

Der Text will den Anschein erwecken, er sei in deutscher Sprache formuliert. Was, wie meist, nicht wirklich gelungen ist. Zum einen lautet die Absenderadresse 'rechnnung@ebay.de', was schon misstrauisch machen sollte. Und neben den nicht korrekt dargestellten Umlauten, sollten jedem Empfänger auch eher unverständliche Formulierungen wie "Vai all'eBay" oder diese Aufforderung zum Folgen eines Links verdächtig erscheinen:

"Sie kцnnen Ihre Angaben jederzeit der Rechnung und den Zustand der bestehenden Kunden ьberprьfen, indem Sie auf diesen Link:"

Der angesprochenen Link "ibbweb-online.net" führt auf die Webseite "einloggen.altervista.org", die durch Layout und Titel durchaus den Eindruck einer offiziellen eBay-Seite erwecken kann. Dort darf sich der User wie gewohnt mit seinen Daten einloggen. Allerdings verschwinden die freizügig mitgeteilten Zugangsdaten dann in den Untiefen der Internet-Kriminalität.

Die betreffende Website ist inzwischen als Betrugsversuch gemeldet und ein entsprechender Warnhinweis erscheint dort. Das Sammeln von Zugangsdaten, nicht nur für Bankkonten, ist ein lukratives Geschäft, da sie leichtsinnigerweise oft auch für andere Logins genutzt werden und sich weiterverkaufen lassen.

Quelle : www.onlinekosten.de

[SiLæncer]

Durch eine XSS-Lücke bei eBay konnten Angreifer
das Cookie stehlen.

Durch eine schwere Sicherheitslücke bei eBay konnten Angreifer Cookies anderer Nutzer stehlen und somit die Kontrolle über fremde Accounts übernehmen. Auf einer Unterseite des Onlineauktionshauses wurde ein URL-Parameter nicht ausreichend überprüft und als Teil der Webseite wiedergegeben. Dadurch war Cross-Site-Scripting (XSS) möglich. Angreifer konnten eBay.de-Links generieren, bei deren Aufruf beliebiger JavaScript-Code im Kontext der eBay-Domain ausgeführt wurde.

Auf diese Weise war es möglich, das Cookie auszulesen und an einen fremden Server zu übermitteln. Entdeckt hat die Lücke der Leser Daniel Sparka. Als er die Lücke dem Unternehmen zuvor über deren Kontaktformular gemeldet hat, erhielt er von eBay lediglich eine Standardantwort mit dem Tipp, die temporären Dateien in seinem Browser zu löschen. Offensichtlich hat der Support-Mitarbeiter die gemeldete Lücke für ein Zugriffsproblem auf Kundenseite gehalten. Daraufhin wandte sich Sparka an heise Security.

eBay bestätigte gegenüber uns das Problem und nahm die betroffene Seite nach unserem Anruf innerhalb von 24 Stunden vom Netz. Die Pressesprecherin bestätigte zudem, dass Kunden kritische Sicherheitslücken lediglich über das allgemeine Kontaktformular melden können. Genauso wie es unser Leser erfolglos versucht hat. Einen direkten Ansprechpartner für Sicherheitsfragen gibt es nicht. Bleibt nur zu hoffen, dass der Entdecker der nächsten kritischen Lücke nicht wieder nur mit allgemeinen Browsertipps abgespeist wird.

Update: Ein Leser hat uns darauf aufmerksam gemacht, dass es zumindest auf der US-Seite von eBay eine Möglichkeit gibt, Sicherheitslücken zu melden. Hinweise auf Sicherheitsprobleme nimmt eBay in englischer Sprache unter securitydisclosure@ebay.com entgegen.

Quelle : www.heise.de