eBay-Passwortklau

Um zu beweisen, wie einfach das geht, hat das Entwicklerteam von Validome eine Auktion aufgesetzt, in der Sie ein Gebot abgeben können. Sie erhalten dann anstelle der Bestätigung von eBay eine andere Seite zurück, auf der Mitgliedsname und Passwort angezeigt werden, die Sie eingegeben haben. Benutzen Sie keinesfalls Ihren echten eBay-Account, sondern erfinden Sie andere Zugangsdaten. Wir speichern die Daten nicht und senden Sie auch nicht an eBay, um Ihr Gebot durchzureichen, wie es ein echter Betrüger machen würde. Der würde Ihnen nämlich keine Warnung präsentieren, sondern die Daten speichern und das Gebot dann an eBay weiterreichen, damit Sie nichts merken - eine klassische "Man in the Middle Attack" also.

Das Prinzip des Angriffs ist verblüffend einfach: Wer eine Auktion aufsetzt, kann in deren Präsentation JavaScript einbauen. Dieses Skript sorgt dafür, dass beim Klick auf "Bieten" nicht die eBay-Login-Seite erscheint, sondern leitet den eBay-Anwender auf eine gefälschte Login-Seite um.

Die Demo setzt voraus, dass Sie den Internet Explorer benutzen und Active Scripting zulassen (Standardeinstellung). Die Beschränkung auf diesen Browser ist notwendig, da Validome das JavaScript kodiert hat, um es vor den Augen von potenziellen Nachahmern zu verbergen. Ein Betrüger würde sich diese Mühe natürlich nicht machen und eine universellere Lösung wählen, die dann auch mit anderen Browsern wie Firefox, Opera & Co. funktioniert. Validome demonstrierte uns eine weitere Lösung, bei der die Umleitung ohne JavaScript auskommt. Sie ist leichter zu durchschauen, dennoch dürfte das Gros der eBay-Teilnehmer auch darauf hereinfallen. Laut Validome ist es sogar möglich, Benutzer der eBay-Toolbar, die solche Umleitungen erkennen soll, unbemerkt auf Phishing-Seiten umzulenken.

Wenn Sie bei der Demo genau hinsehen, erkennen Sie die feinen Unterschiede zwischen der gefälschten Anmeldeseite und der echten von eBay. Natürlich erfolgt die Anmeldung nicht über SSL, so wie eBay dies seit einiger Zeit standardmäßig beim Bieten vorsieht, sondern wie früher auf einer ungesicherten Verbindung. Doch wer kann schon sicher sagen, dass es sich dabei nicht um eine weitere Änderung in der eBay-Software handelt?

Mit JavaScript kann man nicht nur die Bieter auf Phishing-Seiten entführen, sondern beispielsweise auch gefälschte Bewertungsseiten anzeigen. Alle Links auf der Seite lassen sich so manipulieren. Dies ist keine neue Erkenntnis, sondern wurde bereits im September lebhaft diskutiert. eBay reagierte darauf mit einer Präzisierung seiner Grundsätze und hat Skripte und andere Techniken verboten, die den Benutzer auf andere Seiten leiten. Als ob ein Gauner vorher angenommen hätte, dass eBay mit solchen Phishing-Praktiken einverstanden wäre. Außerdem arbeitet eBay nach eigenen Angaben an Filtern, die Auktionen, in denen JavaScript missbraucht wird, proaktiv aufspüren sollen. Solche Filter können aber immer nur bestimmte Standardfälle erfassen und wirken nie mit absoluter Sicherheit. Die ließe sich nur erreichen, wenn eBay den Gebrauch von JavaScript und anderen Techniken, die lediglich zum Aufmotzen von Auktionen dienen, grundsätzlich unterbände.

Validome hat rund 10.000 Auktionen automatisch gescannt und in etwa 7 Prozent davon JavaScript gefunden. Diese Rate liegt in der Vorweihnachtszeit sicherlich etwas höher als zu anderen Zeiten, da Schneeflocken, die über das Browser-Fenster rieseln, und Weihnachtsmänner, die mit ihrem Schlitten den Mauszeiger verfolgen, Saison haben. Die große Mehrheit der Anbieter verzichtet aber lieber auf solchen Schnickschnack. Für eine kleine Minderheit, die JavaScript nutzt, müssen alle Mitglieder mit einem Sicherheitsproblem leben. Statt die Eingabe von HTML und Skripten zuzulassen, täte eBay besser daran, eigene Tags zur Formatierung von Texten und zum Einbinden von Bildern einzuführen. Eine solche Umstellung auf allen nationalen eBay-Plattformen wäre sehr aufwendig und zöge die Anpassung vieler Software-Tools für Verkäufer nach sich. Doch die Sicherheit der zahlenden Kundschaft sollte sich ein Plattform-Betreiber schon etwas kosten lassen.

Bis eBay handelt, müssen sich die Mitglieder selber schützen. Dazu gehört es, JavaScript zum Besuch von eBay abzustellen. Mehr zu diesem Thema finden Sie in unserem Browsercheck. Nahezu alle Funktionen von eBay lassen sich auch ohne JavaScript nutzen. Ferner sollten Sie die Adresse von eBay direkt eingeben oder die Seiten über ihre Bookmarks aufrufen. Wählen Sie dann den Menüpunkt "Einloggen" oben auf der Seite an. Sie landen auf einer SSL-Seite, deren Zertifikat auf "signin.ebay.de" lautet. Melden Sie sich hier an, sodass Sie beim Bieten auf Auktionen Ihre Daten nicht erneut eingeben müssen.

Zusätzlich zur erwähnten Einführung von SSL-Verbindungen als Standard für die Anmeldung wird nun seit etwa zwei Tagen die Plausibiltät der Bankverbindung überprüft, die Mitglieder vor dem Start der ersten Auktion angeben müssen. Diese Beobachtung machte jedenfalls Validome bei der Vorbereitung der Demo. Vielleicht überdenkt man bei eBay ja auch die Haltung, JavaScript sei für Online-Auktionen unabdingbar. (ad)