eBay-Phishing auf eBay-Seite

Betrügern ist es gelungen, eine gefälschte Login-Seite auf einem SSL-gesicherten eBay-Server abzulegen. Der Phishing-Versuch ist für Nutzer schwer erkennbar.

In Pocket speichern vorlesen Druckansicht 63 Kommentare lesen
Ebay

(Bild: dpa, Ralf Hirschberger)

Lesezeit: 3 Min.
Von
  • Keywan Tonekaboni
Inhaltsverzeichnis

Derzeit kursieren Phishing-Mails, mit denen Betrüger versuchen, gezielt eBay-Anmeldedaten abzugreifen. Für die Opfer ist der Betrugsversuch nur schwer zu erkennen. Denn die gefälschten Login-Seiten sehen dem Original nicht nur zum verwechseln ähnlich – die Betrüger haben diese auch auf einem eBay-Server abgelegt. Dazu nutzen sie die Artikelbeschreibung. Nach Hinweisen von heise Security hat eBay die betroffenen Artikel gesperrt.

Die Betrüger nutzen den Umstand, dass eBay die Artikelbeschreibungen als Iframe einbindet. Dadurch haben diese eine eigene URL und können auch als eigenständige HTML-Seite aufgerufen werden. Die Betrüger hinterlegen als Artikelbeschreibung eine gefälschte Login-Seite und versenden den Link dazu in einer gut gemachten Phishing-Email. In dieser scheinbar von eBay stammenden E-Mail steht, ein Kunde habe einen Artikel bezahlt oder fordere eine Rückabwicklung.

Klickt ein Verkäufer auf einen der Links, wird nicht eBay geöffnet, sondern die täuschend echt aussehende Anmeldeseite, aber unter der eBay-Domain "ebaydesc.com". Teilweise wird diese Seite sogar mit HTTPS und einem gültigem SSL-Zertifikat von eBay geladen. Das Formular hinter der Anmeldemaske schickt die Daten aber nicht an eBay, sondern an einen Server, auf dem die Betrüger die Daten entgegen nehmen.

So läuft das eBay-Phishing (4 Bilder)

Die Login-Seite sieht täuschend echt aus. Lediglich die Domain ebaydesc.com ist ein Hinweis darauf, dass es nicht die richtige Anmeldeseite ist.

Diese Masche ist bereits seit 2015 bekannt und gegenüber heise Security sprach auch eBay von einer gängigen Methode. Neu ist die Nutzung von SSL, welche Sicherheit suggeriert. Unverständlich ist, warum eBay offenbar auch nach Jahren nicht in der Lage ist, diese bekannten Betrugsversuche zu unterbinden.

Nach ersten Erkenntnissen von heise Security nutzten die Betrüger vermutlich vorher gekaperte eBay-Konten. Dies legt die Nachfrage bei einem der betroffenen Händler nahe, zu dessen Account einer der Artikel mit manipulierter Beschreibung gehörte. Der Händler aus Süddeutschland schilderte heise Security glaubhaft, dass er für die manipulierte Artikelbeschreibung nicht verantwortlich sei. Bereits in der Vergangenheit sei sein Konto missbraucht worden, um Zahlungen seiner Kunden zu erschleichen. eBay sei der damalige Betrug laut dem Händler bekannt.

Ein weiterer Händler, Maik Marx, erhielt die Phishing-Mails und versuchte über eine Woche erfolglos, eBay auf das Problem aufmerksam zu machen. Dies geht aus Mails von Marx an eBay hervor, die heise Security vorliegen. Nachdem heise Security die Handelsplattform mit den Phishing-Versuchen konfrontierte, verschwanden die Artikelbeschreibungen binnen weniger Stunden aus dem Netz.

Nutzer sollten bei E-Mails von Online-Plattformen wie eBay genau hinschauen. Die Anmeldung bei eBay läuft ausschließlich über die Domain "signin.eBay.de. Statt auf einem Link in der E-Mail zu klicken, sollten Nutzer lieber über ein Lesezeichen im eigenen Webbrowser die Website von eBay aufrufen. Alle von eBay versendeten E-Mails finden sich dort in den Nachrichten. Wer befürchtet, dass seine Daten abgegriffen wurden, sollte umgehend sein Passwort ändern. Wer eine Phishing-Mail erhält oder verdächtige Artikel entdeckt, kann diese eBay unter spoof@eBay.de melden. Es bleibt zu hoffen, dass eBay auf solche Hinweise in Zukunft schneller reagiert.

Mehr zu Identitätsdiebstahl finden Sie in folgenden Artikeln:

(ktn)