eBay leistet Phishern ungewollt Schützenhilfe [Update]
eBay unterstützt in Links einen Parameter, durch den Anwender nach erfolgreicher Anmeldung auf den echten eBay-Seiten zu anderen Seiten weitergeleitet werden.
Das Internetauktionshaus eBay leistet Phishern unfreiwillig Schützenhilfe. So unterstützt eBay die automatische Weiterleitung auf externe Seiten – nach der erfolgreichen Anmeldung auf seinen eigenen Seiten. Dazu reicht offenbar die Angabe des Parameters continueURL in einem präparierten Link. Zwar ist die Weiterleitung auf eine externe Seite anhand der Adress- und Statuszeile ersichtlich, allerdings könnten Anwender dies schlicht übersehen, da sie sich ja zunächst auf der echten eBay-Seite per SSL eingeloggt haben und die betrügerische Seite im gleichen Gewand erscheint.
Im aktuellen Fall kursieren gefälschte eBay-Mails mit dem Betreff "Wiederhergestelltes Mitgliedskonto", die den Empfänger darüber informieren, dass seine Bank eBay informiert hätte, sein Konto sei manipuliert worden. Der enthaltene präparierte Link führt zunächst auf das eBay-Login. Nach der erfolgreichen Anmeldung auf den echten Seiten von eBay erscheint eine Meldung, man sei von eBay aufgrund von Unregelmäßgikeiten ausgeschlossen worden. Ursache dieser gefälschten eBay-Meldung ist wahrscheinlich der undokumentierte Parameter DisplaySUorNPBPopUp in der Phishing-URL, der eBays Skripte auf dem Webserver zu diesem Hinweis veranlasst, obwohl das Konto weiterhin gültig ist. Ein Klick auf "Weiter" führt dann schließlich auf die in continueURL angegebene eigentliche Phishing-Seite, auf der der Anwender Kontonummer, Bankleitzahl, Kontoinhaber und Anschrift zur Bestätigung seiner Identität wieder eingeben soll.
Was die Phisher mit diesen Daten wollen, ist nicht ganz klar, eventuell planen sie, die Konten ihrer Opfer per Lastschrifteinzug leerzuräumen. Möglich ist auch, dass sie die Konten für Geldwäsche missbrauchen wollen, indem sie die Beute anderer Raubzüge dorthin überweisen und anschließend mit dem Opfer Kontakt treten und es bitten, das fehlgeleitete Geld "freundlicherweise" per Western Union zu überweisen. Nach bisherigen Erkenntnissen von heise Security gelangen die eBay-Anmeldedaten selbst aber nicht in die Hände der Betrüger.
In den eBay-Foren ist bereits eine Diskussion zu dem Problem im Gange. Ein zuvor gestarteter Thread zu dem Thema soll von eBay kurzerhand gesperrt worden sein. Eine Antwort von eBay auf eine Anfrage zu der Schwachstelle steht noch aus. Bereits vor rund einem Jahr spielte eBay Betrügern in die Hand, die mittels spezieller so genannter mich-Seiten ein eBay-Login vortäuschen konnten, um Name und Passwort zu stehlen.
[Update]
eBay hat die Schwachstelle nach eigenen Angaben heute Nacht beseitigt. In Links enthaltene continueURL-Parameter werden nun einfach ignoriert, sodass Anwender nach der Anmeldung auf eBay nicht mehr ungewollt weitergeleitet werden. (dab)
