Ebay-Hacker

Javascript-Schadcode leitet per Ebay-Angebot auf Phishing-Seiten

Eine Reihe von Ebay-Auktionen schickt die Nutzer derzeit auf Irrwege: Statt bei dem gewünschten Angebot landen sie per Javascript-Schadcode auf einer täuschend ähnlich aufgemachten Phishing-Seite. Dort wird versucht, die Kundendaten der Besucher abzugreifen.

© Udo Harbers

Auf Ebay kursiert eine neue Masche: Hacker nutzen Javascript für Phishing-Angriffe.

Hacker haben Ebay erneut kompromittiert. Über die bekannte Cross-Scripting-Technik haben sie es geschafft, in ganz normale Angebote Schadcode in Java-Script einzufügen. Die Angebote erscheinen oft besonders attraktiv, wie beispielsweise Lockangebote für das iPhone S5. Wer diese aufruft, wird automatisch auf eine Seite der Cyber-Kriminellen umgeleitet. Zwar sind solche Umleitungen grundsätzlich bei genauer Beobachtung der URL in der Adresszeile des Browsers zu entdecken, aber der Großteil der Nutzer dürfte dem Feld beim Surfen in der Regel wenig Beachtung schenken.

Lesetipp: 145 Millionen Ebay-Kundendaten gestohlen

Die Cross-Scripting-Lücke wurde zuerst von einem Power-Seller bemerkt, der das Problem auf der englischen Ebay-Seite entdeckte und das Online-Auktionshaus auch sofort darüber informierte. Inzwischen wurden die betrügerischen Angebote von Ebay entfernt

Die neue Betrugsmasche wurde auch von der britischen BBC kommentiert. Es wird moniert, dass es über einen halben Tag gedauert hat, bis auf die Hinweise zu reagiert wurde. Eine solch große Plattform sollte über ein schlagkräftigeres und schneller reagierendes Sicherheitsteam verfügen, wie der Sicherheitsforscher Steven Murdoch des University College London anmerkte.

Auch grundsätztliche Kritik wurde laut. Danach sollte eine Plattform wie Ebay nicht solch eine unübersehbare Anzahl von Domains und Servern freigeben und die User nicht zur Nutzung von Script zwingen. Dann könnten Nutzer sich besser schützen, indem sie Javascript ausschalten und die Verletzbarkeit der Plattform wäre insgesamt geringer.

Mehr zum Thema

Hackerangriff

Nach einer Attacke auf die Handelsplattform eBay rät der Konzern den US-Nutzern dringend, ihre Zugangspasswörter zu ändern.
Nach Hacker-Angriff

Hacker haben eBay-Daten gestohlen, Sie sollten nun Ihr eBay-Passwort ändern. Wir zeigen, wie Sie die etwas versteckte Funktion finden.
Betrug per E-Mail

Eine vermeintliche E-Mail von Amazon führt zur Katastrophe: Ein Video zeigt, wie schnell unachtsame Internet-Nutzer Phishing-Mails zum Opfer fallen…
Kundenpasswörter im Klartext

Bitdefender-Hack: Der Hacker fordert 15.000 US-Dollar, ansonsten würden Nutzerdaten veröffentlicht. Diese speicherte Bitdefender übrigens im Klartext.
Schädlinge über Flash-Werbung

Yahoo-Webseiten lieferten vom 28. Juli bis 3. August Malware über Flash-Werbung aus. Das entdeckte das Sicherheitsunternehmen Malwarebytes.