Neue Masche des eBay-Phishing

Bei der von Gronen dokumentierten Manipulation wurde der "Bieten" Schalter einer Siemens S65 Auktion durch einen falschen Button überlagert, so dass ein Klick darauf auf signin.ebay.de.tt führt. Eine Site unter der ccTLD von Trinidad und Tobago, die augenscheinlich zu Betrugszwecken aufgesetzt wurde. Dort ist jetzt lediglich noch eine Kopie der eBay-Startseite zu finden. Doch wie Gronen weiter beschreibt, erfolgte dann die Aufforderung, den eBay-Mitgliedsnamen und das Passwort anzugeben.

Der "Kauf" kann im für den Angreifer günstigsten Fall vollkommen reibungsfrei verlaufen. Wie Screen Shots bei Wortfilter.de zeigen, könnte die Fälschung zwar an einigen Merkmalen erkannt werden. Vor allem, wenn der Bieter nicht den Internet Explorer, sondern beispielsweise Firefox oder Opera benutzt. Doch das bedeutet im Grunde nur, dass diese Masche noch verbesserungsfähig ist.

Wirklich ärgerlich, beziehungsweise erschreckend ist aber, dass dieser Betrugsversuch nicht isoliert unter einem mit eBay nicht assoziierten Informationsangebot beschrieben wurde. Vielmehr bezieht sich Gronen auf eine bereits am 20. November gestartete Diskussion im eBay-Sicherheitsforum, in deren Rahmen der Betrugsversuch als auch weitere Informationen über den potentiellen Täter beschrieben werden. Dennoch wurde die Auktion nicht gestoppt.

Für den Wortfilter-Autor ist das ein Hinweis, dass von dem angeblich "hundertköpfigen Sicherheitsteam" des Auktionshauses niemand im eigenen Forum "Sicherheit" mitliest. Auch der Umstand, dass die Artikel-Beschreibung in den Nachtstunden des 18. Novembers im Minutenabstand insgesamt acht Mal "testweise" überarbeitet wurde, hat niemand stutzig gemacht.

Bleibt die Frage, womit sich die eBay-Sicherheit überhaupt beschäftigt. Nach Einschätzung von Gronen sind es vermutlich eher Probleme wie eBay-Gebührenumgehungen oder der Richtlinien-Verstoß "Dildo-Verkauf", die diese hundert Köpfe umtreiben.