(openPR) Wortfilter.de ist das kritische und topaktuelle Online-Portal, das Tipps, Tools und aktuelle Meldungen rund um Online-Marktplätze wie eBay anbietet. Seit Ostern warnt Wortfilter.de vor einer neuen eBay-Phishing-Mail, die aufgrund eines verschleierten Links brandgefährlich ist und eine neue eBay-Sicherheitslücke offenbart.
Daten-Phisher verschicken Mails, die so aussehen, als stammen sie von der Bank, von eBay, von PayPal oder von einem anderen großen Unternehmen. Ziel ist es für die Online-Mafia stets, ahnungslose Anwender zum Klicken auf einen Link zu verleiten. Der führt vermeintlich zu einer Original-Webseite der genannten Firmen und Institute. Stattdessen gelangt der Anwender aber auf eine "gefälschte" Seite. Die hier eingegebenen persönlichen Daten landen nicht bei eBay & Co, sondern direkt bei skrupellosen Web-Ganoven, die damit Schindluder treiben.
Die meisten Phishing-Mails zielen ins Leere, weil sie in einem grauenhaften Deutsch verfasst sind, ein fehlerhaftes Layout bieten oder einen so offensichtlich falschen Link präsentieren, dass nur die wenigsten auf die Mails hereinfallen. Wortfilter.de meldet: Die Schonzeit ist vorbei. Betreiber Axel Gronen: "Die Qualität der Phishing-Mails hat seit Ostern eine neue Qualitätsstufe erklommen."
Verschleierter eBay-Link
Die neue Phishing-Mail mit dem Subject "TKO-HINWEIS: Wiederhergestelltes Mitgliedskonto" ist erstmals in einem nahezu perfekten Deutsch geschrieben, sodass ihre Wirkung deutlich höher ist als bei Phishing-Mails, die vor Tipp- und Grammatikfehlern nur so strotzen.
Hinzu kommt, dass bei der neuen Phishing-Mail der angebotene Link zum Klicken fast perfekt verschleiert ist, sodass selbst misstrauische Anwender glauben, dass er tatsächlich von eBay stammt. Um das zu erreichen, nutzten die Täter eine undokumentierte Funktion namens "continueURL". Sie erlaubt es, eine weitere Internet-Adresse an eine ganz normale eBay-Auktion anzuhängen. Die Folge: Nur die angehängte URL wird verwendet. Es sieht aber so aus, als würde die Web-Adresse von eBay stammen. Was natürlich nicht der Fall ist.
Ein weiteres vermeintliches Echtheit-Indiz: Die Verbindung zum rumänischen Betrugsserver ist SSL-verschlüsselt und dank der ContinueURL-Funktion wird sogar die Echtheit des Verisign-Zertifikats vorgetäuscht.
Bitte eBay-Daten verraten: Bloß nicht!
Die gefälschte eBay-Mail will nur das Beste der Empfänger - die ganz persönlichen eBay-Daten. Mit diesen Angaben lässt sich eine Menge Schindluder im Web treiben. So können die Betrüger bei Auktionen mitbieten oder eigene Versteigerungen ins Netz stellen. Kein Wunder, dass eBay selbst immer wieder warnt: Niemals wird ein seriöses Unternehmen die Verifizierung von sensiblen Kundendaten direkt im Internet erzwingen.
In der Phishing-Mail heißt es: "Ihre Bank hat uns kontaktiert, wegen einiger Versuche, Ihre Kreditkarte über das eBay System zu belasten. Wir haben Grund zur Annahme, dass Sie Ihre Registrierungsdaten geändert haben oder dass jemand Unbefugtes auf Ihr eBay Konto Zugriff hat. Wegen kürzlicher Kontoaktivitäten, die auch unbefugte Kontobewegungen einschliessen können, benötigen wir eine zweite Bestätigung Ihrer Identität, (…) Wenn wir jedoch nicht innerhalb von 48h nach Erhalt dieser Nachricht eine Bestätigung von Ihnen erhalten, behalten wir uns das Recht vor, Ihre eBay Registrierung zu löschen. (…) Um Ihre Identität zu bestätigen, klicken Sie hier …"
Diese Mail wird seit dem 17. April massenhaft an deutsche Empfänger verschickt. Wortfilter.de warnt davor, auf den Link zu klicken oder gar die eigenen Kontaktdaten in das Online-Formular einzugeben. Axel Gronen: "Am besten löschen Sie die Mail, sobald Sie das Thema 'TKO-HINWEIS: Wiederhergestelltes Mitgliedskonto' im E-Mail-Eingang sehen."
Katastrophale Sicherheitslücke bei eBay
Die neue Phishing-Mail offenbart eine bislang noch nicht bekannte Sicherheitslücke bei eBay. Axel Gronen: "Bei eBay kann man mit der Funktion continueURL leicht eine fremde Web-Adresse in eine echte eBay-URL einschleusen und so auf einen in betrügerischer Absicht eingerichteten Server verweisen. Auf diesem wiederum können Betrüger über eine der eBay-Seite täuschend echt nachempfundenen Homepage Usernamen und Passwörter von ahnungslosen eBay-Nutzern erschleichen. Das Perfide dabei: Selbst für Fachleute sieht die gefälschte URL täuschend echt aus und ist von einer normalen eBay-Seite kaum zu unterscheiden."
eBay selbst empfiehlt die Installation der kostenlosen eBay-Toolbar. Sie bietet einen Sicherheitscheck an, der sofort Alarm geben soll, sobald sich der Anwender auf einer gefälschten Homepage der Daten-Phisher aufhält. Axel Gronen: "Leider ist das ein schlechter Rat, denn die eBay-Toolbar erkennt diese gefälschte URL und Website nicht."
Axel Gronen: "Mit einem Trick, den ich hier nicht näher beschreiben will, kann man zudem automatische Weiterleitungen auf solche gefälschten Websites in eBay-Artikelbeschreibungen einschleusen. Hier hat dann ein ahnungsloser Leser überhaupt keine Chance mehr, die Täuschung zu erkennen: Es ist ja schließlich normal, dass man bei eBay gelegentlich zum Einloggen aufgefordert wird - auch dann, wenn man eigentlich bereits eingeloggt ist."
Axel Gronen zeigt sogar, wie das funktioniert: "Zu Ihrer Unterhaltung können Sie ja einmal meine Mich-Seite besuchen und sehen, was passiert: Sie werden automatisch und ohne Ihr Zutun auf www.wortfilter.de weitergeleitet. Tun Sie das aber bald - eBay wird meine Seite wohl schnell entfernen." (5130 Zeichen, zum kostenlosen Abdruck freigegeben)
Homepage: www.wortfilter.de
Phishing-Mail im Wortlaut: www.wortfilter.de/News/news1523.html
Mich-Seite bei eBay: http://cgi3.ebay.de/ws/eBayISAPI.dll?ViewUserPage&userid=axelg
Screenshots (JPG): http://typemania.de/presse
Der Pressetext als RTF-Datei: http://typemania.de/presse
Informationen zum Anbieter
Axel Gronen betreibt die Website Wortfilter.de, die mit 1,22 Millionen Pageviews im Monat als größtes deutschsprachiges Portal zum Thema eBay, Hood & Co gilt. Hier werden tagtäglich Infos, Tools und News veröffentlicht. Außerdem ist Axel Gronen als Chefredakteur des Infodienstes "Internet Auktionen professionell" aktiv. Der Infodienst erscheint mit 12 plus 4 Printausgaben im Jahr im Bonner Verlag für Deutsche Wirtschaft. Als Buchautor ist der 1966 geborene Axel Gronen für das Werk "eBay Dirty Tricks" verantwortlich, das im Verlag Data Backer veröffentlicht wurde. Seit 2004 ist Axel Gronen Direktor der internet auction services ltd.
internet auction services ltd., Axel Gronen, Paul-Schallück-Str. 6, 50939 Köln
Tel.: 0221 2825011 / Fax: 01212 6 19660707
Mail:
Web: www.wortfilter.de
