zurück zum Artikel

Bei eBay ist eine Reihe von Auktionen aufgefallen, die ihre Besucher auf eine Phishing-Seite umleiteten. Das dabei eingesetzte Mittel ist bei eBay keineswegs unbekannt.

Mehrere eBay-Auktionen lotsten ihre Besucher geradewegs auf eine Phishing-Seite. Wie BBC berichtet [1], hat der Täter offenbar eine Cross-Site-Scripting-Lücke (XSS) in der britischen eBay-Site missbraucht, um JavaScript-Code in die Auktionsseite einzuschleusen.

Dieser hat dafür gesorgt, dass man beim Aufrufen der Seite automatisch auf eine Phishing-Seite umgeleitet wurde – die perfiderweise im eBay-Look gehalten war. XSS-Lücken bei eBay sind nicht selten [2], allerdings wurden bisher keine Fälle dokumentiert, in denen eine solche Schwachstelle tatsächlich für kriminelle Aktivitäten missbraucht wurde.

Der eBay-Powerseller Paul Kerr hatte die erste der insgesamt drei bekannten Phishing-Auktionen entdeckt und daraufhin das Online-Auktionshaus kontaktiert. Mittlerweile wurden die Auktionen von eBay gelöscht. (rei [3])

URL dieses Artikels:
https://www.heise.de/-2398835

Links in diesem Artikel:
[1] http://www.bbc.com/news/technology-29241563
[2] http://www.heise.de/security/suche/?q=ebay+xss&search_submit.x=0&search_submit.y=0&rm=search
[3] mailto:rei@heise.de

Copyright © 2014 Heise Medien