Passwortklau in eBay-Auktionen
Es ist bereits seit langem bekannt, dass man eBay-Artikelbeschreibungen auf vielfältige Weise manipulieren kann. So ist es z.B. möglich, beim Verkäufer eine falsche Bewertungszahl anzeigen zu lassen und ihn so vertrauenswürdiger erscheinen zu lassen, als er tatsächlich ist. Und es ist problemlos machbar, die "Bieten"-Buttons so zu manipulieren, dass sie auf eine fremde Website führen und ahnungslose Benutzer dort ihr Passwort preisgeben.
Von der ersten Masche ist bekannt, dass sie schon öfter bei eBay eingesetzt wurde. Bei der zweiten Masche hatte ich in der Vergangenheit noch nicht gehört, dass jemand sie in böser Absicht angewendet hätte - leider hat sich das geändert und es ist zu befürchten, dass es künftig viele Nachahmer gibt.
In dieser (inzwischen abgelaufenen) Auktion führten beide "Bieten"-Buttons auf die nicht zu eBay gehörende Webseite www.signin.ebay.de.tt. Wer dort seinen eBay-Namen und sein Passwort eingibt, wird anschließend zurück zur echten eBay-Seite geschickt - und ahnt eventuell nicht, dass nun unbefugte Dritte im Besitz seines Passworts sind.
Hier einige Screenshots der beiden "Bieten"-Buttons aus der gefälschten Artikelbeschreibung:
Der obere Bieten-Button sieht völlig echt aus - führt aber auf eine Phishing-Site! Der Screenshot wurde im Internet Explorer gemacht, sieht aber bei Mozilla Firefox und Opera genau so aus.
Das Bietfeld im Internet Explorer. Hier könnte einen misstrauisch machen, dass man mindestens einen Euro bieten soll - obwohl zu dem Zeitpunkt bereits 300 Euro das Höchstgebot waren. Außerdem wurde der originale eBay-Text nicht vollständig überschrieben und es gibt deshalb Texte doppelt - was Betrüger mit ein wenig Übung sicher auch noch verbessern können.
Im Browser Mozilla Firefox wirkt das ganze bereits deutlich schlechter: Hier kann man sogar noch einen Teil des originalen eBay-Bieten-Buttons erkennen.
Mit dem Browser Opera sieht man noch mehr von der originalen eBay-Seite.
eBay ist dieses Sicherheitsproblem natürlich bekannt, das dürfte auch einer der Gründe für die Entwicklung der eBay-Toolbar gewesen sein: Die erkennt nämlich, wenn man auf eine solche Phishing-Site geleitet wird und warnt. Leider kann man die eBay-Toolbar wegen der ungeklärten Datenschutzprobleme nicht uneingeschränkt empfehlen - letztlich hilft eben immer nur Vorsicht und besondere Wachsamkeit.
Erschreckend finde ich, dass eBay diese Auktion nicht gelöscht hatte und sie normal ablief - obwohl sie in diesem Thread rechtzeitig thematisiert wurde. Wenn vom angeblich hundertköpfigen Sicherheitsteam eBays niemand im Sicherheits-Forum mitliest, dann setzt eBay völlig falsche Prioritäten: Dort befasst man sich lieber mit Schwerverbrechen wie der eBay-Gebührenumgehung oder verhindert den Verkauf von Dildos und steckt bei ernsten Sicherheitsproblemen den Kopf in den Sand.
Axel Gronen
21.11.2004
 Vorherige Meldung
| 
