Paypal-Phishing via Cross-Site-Scripting
Eine Cross-Site-Scripting-Lücke auf den Seiten von Paypal ermöglichte es Phishern, Kreditkartennummern und andere sensible Daten der Nutzer des Dienstes zu stehlen.
- Alexandra Kleijn
Mit einem raffinierten Trick lockten Phisher am Wochenende Benutzer des Dienstes auf eine der Paypal-Seite nachempfundene Seite, wo sie Kreditkartennummern und andere persönliche Informationen eingeben sollten, berichtet Netcraft. Das Besondere an dieser Phishing-Aktion war, dass der Link in der E-Mail tatsächlich auf eine offizielle, https-gesicherte Paypal-Seite führte. Diese zeigte die Meldung
"Your account is currently disabled because we think it has been accessed by a third party. You will now be redirected to Resolution Center."
Daraufhin wurde das Opfer tatsächlich auf einen anderen Server weitergeleitet, wo er sich mit User-Name und Passwort anmelden sollte. Da dieses angebliche Resolution Center ein Server unter Kontrolle der Angreifer war, landeten diese Daten bei denen.
Offenbar war eine Paypal-Applikation anfällig für Cross-Site-Scripting (XSS). Denkbar ist beispielsweise, dass sie einen Ausgabetext aus einer Variable entnahm, deren Inhalt über die URL festgelegt werden konnte. Diese bauten die Phisher dann so zusammen, dass sie obige Meldung und möglicherweise auch gleich den Script-Code für die Weiterleitung enthielt. Amerikanischen Medien zufolge hat Paypal reagiert und die XSS-Lücke beseitigt.
Diese Entwicklung hin zu immer ausgefeilteren Phishing-Techniken kommt nicht überraschend. Cross-Site-Scripting wurde zwar lange Zeit als Sicherheitsproblem nicht ganz ernst genommen, weil es ja keinen direkten Schaden anrichten kann. Aber Experten warnen seit geraumer Zeit, dass es unter anderem raffinierte Täuschungsmanöver ermöglicht, die vom Opfer nur noch schwer als solche zu erkennen sind. Offenbar suchen Phisher nun aktiv nach solchen XSS-Lücken auf den Seiten von Banken und Bezahldiensten. Dass sie dabei auch weiterhin fündig werden, steht außer Frage, denn nach Erkenntnissen von heise Security finden sich auch auf Seiten von deutschen Banken immer wieder derartige Fehler.
Siehe dazu auch: (akl)
- Cross-Site-Scripting: Datenklau über Bande, Artikel auf heise Security
