04.06.2005

WARNUNG

Passwort-Fischen bei eBay.de

Auf die Mitglieder von eBay Deutschland läuft eine deutschsprachige Phishing-Attacke, die ziemlich raffiniert aufgezogen ist.

Die User erhalten eine E-Mail einer durchaus glaubwürdigen Absender-Adresse, nämlich aw-benutze@ebay.de, und auch der Link, auf den der User klicken soll, ist auf den ersten Blick authentisch, weil er mit https://signon.ebay.de beginnt.

Der Text der E-Mail ist ist auf den ersten Blick ebenfalls glaubwürdig, bis auf kleine Details, die nur bei näherer Analyse auffallen. Der Knackpunkt aber ist, dass die erste Seite, die aufgerufen wird, 1:1 wie die deutsche Login-Seite von eBay.de aussieht.

Ein Zombie in Thailand

Wer nach dem Klick auf den Link in der E-Mail nicht auf den Ladevorgang der sich anschließend öffnenden Seite achtet, übersieht, dass der Weg nicht zu eBay selbst, sondern über Google zu einem Zombie-Server mit der IP-Adresse 202.143.177.162 in Thailand geführt hat.

Die IP-Adresse des Zombies gehört[e] dem thailändischen Erziehungsministerium, die Maschine steht physisch im "educational network" und läuft unter Red Hat mit Apache 2.0.40.

Die Phishing-Mail im Original

Von: eBay.de [mailto:aw-benutze@ebay.de]

Gesendet: Samstag, 04. Juni 2005 15:27

An: josef.xxxxx@xxx.at

Betreff: [Norton AntiSpam] eBay - Benutzer Verschoben

Hallo Liebes eBay Mitglied,

Aus Sicherheitsgründen bitten wir Sie uns inerhalb 24 Stunden Ihr eBay-Mitgliedsnamen und Passwort auf folgenden Link einzugeben.

https://signon.ebay.de/aw-cgi/eBayISAPI.dll?SignIn&ssPageName=h:h :sin:US

Dadurch stellen wir sicher, dass eBay weiterhin sicher bleibt, und Ihre Daten geschützt werden.

Falls Sie dies nicht tun, kann es zu einer Beendigung Ihrer Mitgliedschaft bei eBay geben.

Hinweis: Falls diser Link nicht funktionieren sollte, kopieren Sie ihn bitte und fügen ihn dann in Ihren Browser ein (Achten Sie bitte darauf, keine zusätlichen Leerzeichen einzufügen).