eBay: Phishing und kein Ende

Immer noch gelangen Betrüger mit Phishing-Mails an eBay-Accounts, doch das Unternehmen lässt sie gewähren.

In Pocket speichern vorlesen Druckansicht 109 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Axel Kossel

Aktuell läuft wieder einmal eine größere Phishing-Welle durch eBay. Betroffen sind Verkäufer, die eine E-Mail mit etwa folgendem Inhalt bekommen: "Können Sie mir bitte erklären, wenn dieses das gleiche Artikel ist, das Sie verkaufen? Dieses ist die Seite:". Darauf folgt ein Link, der nicht zum eBay-Server führt, sondern hierhin: http://cgi2-bay-de.xt.cx/WS/ISAPI/dll/W0QQitemZ110183318414QQihZ001QQcategoryZ1534.html.

Hinter der Adresse steckt kein Server auf den Weihnachtsinseln im Indischen Ozean, sondern der kostenlose, US-amerikanische Weiterleitungsdienst i67.org. Er verweist auf den Server eines deutschen Free-Hosting-Service, von wo die Phishing-Seiten geladen wurden. heise online setzte sich mit dem Betreiber in Verbindung, der die Seite sofort entfernte. Dabei erfuhren wir, dass die Seite vermutlich von Schweden aus eingestellt und seither etwa 650 Mal abgerufen wurde.

Die Phishing-Seite bildete das deutsche Login-Formular von eBay recht genau nach; lediglich der Hinweis "Schützen Sie Ihr Mitgliedskonto" unten rechts fehlte. Kein Wunder, dort steht normalerweise, wie die URL der Seite anfangen soll – natürlich anders als die oben genannte. Hier stellt sich die Frage, wie man auf eine solch plumpe Fälschung hereinfallen kann. Dazu tragen die Umstände bei: Man erhält eine E-Mail, die tatsächlich vom eBay-System versandt wurde, oder befindet sich sogar auf Mein eBay und findet dort die Nachricht von einem anderen Mitglied mit dem Link. Der führt auf eine Seite, die man als eBay-Nutzer gut kennt. Da fehlt dann oft das notwendige Misstrauen, um den Schwindel zu entdecken.

Ein Blick auf die URL entlarvt den Schwindel. Doch der setzt ein gewisses Maß an Misstrauen voraus.

Wer dann auf der Phishing-Seite Benutzername und Passwort eingab, schickte diese Daten zu einem Webhosting-Server von Yahoo, wo der Angreifer die Accounts offenbar einsammelte. Das Phishing-Opfer wurde zu einem spanischen Server weitergeleitet, auf dem die Nachbildung einer Auktionsseite auf eBay Kanada geladen wurde. Die Links in dieser Seite verwiesen auf den echten eBay-Server.

Von einem Opfer haben wir erfahren, dass mit Hilfe der gestohlenen Accountdaten zwei seiner Artikel mehrfach wiedereingestellt und 19 Phishing-Mails mit dem gleichen Link an andere Mitglieder verschickt wurden. Er hatte eBay am Montag um die Mittagszeit über den Vorfall informiert. Man half ihm recht schnell: Der Account wurde gesperrt, bis der Benutzer die geänderten Daten wieder zurückgesetzt und ein neues Passwort vergeben hatte, die vom Angreifer eingestellten Auktionen wurden gelöscht.

Doch obwohl er eBay darüber informierte, dass über seinen gestohlenen Account etliche Phishing-Mails verschickt wurden und dadurch weitere Mitglieder gefährdet sind, hat eBay das eigentliche Problem, nämlich die Phishingseite selbst, nicht in Angriff genommen. "Ich denke, dass eBay hier eine Sorgfaltspflicht hat und dieser in keiner Weise nachkommt", erklärte das betroffene Mitglied gegenüber heise online. (ad)