Thema: eBay diverses ...

[SiLæncer]

Für einen weiteren Phishing-Trick auf den Seiten von eBay werden nicht einmal mehr aktive Inhalte benötigt, um an die Login-Daten von eBay-Nutzern zu gelangen. eBay bietet seinen Nutzern "mich"-Seiten zur Selbstpräsentation an. Dort lässt sich beliebiger Inhalt platzieren.

Anders als frühere Phishing-Tricks, die über die eBay-Angebotsseiten funktionieren, ist hier kein Javascript, eine andere Skriptsprache oder ein zusätzliches Plugin nötig.

Zudem können "mich"-Seiten ein völlig anderes Aussehen erhalten. Im Unterschied zu Angebotsseiten werden auf ihnen nämlich so gut wie keine weiteren Inhalte von eBay automatisch eingeblendet, beispielsweise Bewertungen. Allein aus der URL mit einer unauffälligen User-ID, wie beispielsweise "http://cgi3.ebay.de/ws2/eBayISAPI.dll?ViewUserPage&userid=signin", der Tatsache, dass es keine https-URL ist, und der Titelleiste könnte ein aufmerksamer eBay-Nutzer Verdacht schöpfen, dass auf dieser Seite die Eingabe seiner Login-Daten gefährlich werden könnte. Aber nicht allen Nutzern wird dies sofort auffallen.

Die Pressestelle von eBay erklärte in einer Stellungnahme gegenüber heise Security: "Der beschriebene Sachverhalt ist -- genau wie bei der missbräuchlichen Nutzung von JavaScript -- darauf zurückzuführen, dass die eBay-Seiten gemischte Inhalte haben. Ein Teil des Inhalts kommt von eBay, ein anderer Teil kann von den Nutzern gestaltet werden." Allerdings lässt sich nicht mehr unterscheiden, welcher Inhalt von wem stammt. Die Flexibilität bei der Selbstdarstellung geht auch hier auf Kosten der Sicherheit.

eBay erklärt auf seinem Sicherheitsportal ausführlich, wie seine Login-Seiten zu erkennen sind. Dem zufolge enthalten echte eBay-Adressen einen Punkt '.' vor ebay.de und einen Schrägstrich '/' direkt dahinter. Als Beispiel wird die URLs http://cgi3.ebay.de/ aufgeführt. Genau diese ist aber auch in dem Link zu der manipulierten "mich"-Seite zu finden. Anwender sollten Links zu den Seiten von eBay -- etwa in E-Mails -- deshalb nur mit erhöhter Aufmerksamkeit folgen.

Quelle und Links : http://www.heise.de/newsticker/meldung/57240

[SiLæncer]

Die Versender von Phishing-Mails haben offenbar einen Schwachpunkt bei Ebay für sich entdeckt. Sie senden eine der üblichen Phishing-Mails, der darin enthaltene Link führt jedoch zunächst tatsächlich (nicht nur scheinbar) auf die echte Sign-In-Seite von Ebay (signin.ebay.com). Das englische Unternehmen Netcraft Anbieter einer Anti-Phishing Toolbar für Internet Explorer und Firefox , berichtet über diese Phishing-Masche.

Die von den Phishern versandten Mails unterscheiden sich im Grunde nicht von den sonst verschickten. Sie fordern den Empfänger auf seine Benutzerdaten bei Ebay zu bestätigen. Empfänger solcher Mails, die das Link-Ziel als Kriterium für die Echtheit einer erhaltenen Mail ansehen, tappen in die Falle. Der Link enthält eine zusätzliche Zeichenkette mit Parametern, die nach dem Aufruf der originalen Ebay-Seite eine Weiterleitung auf eine gefälschte Seite mit einem identisch aussehenden Anmeldeformular veranlassen.

Möglich wird das durch einen Schwachpunkt bei Ebay. Eine offenbar von jedermann nutzbare Weiterleitungsfunktion auf einem Ebay-Server ermöglicht die Umleitung eines Seitenaufrufs auf eine beliebige externe Website. In diesem Fall ist das eine modifizierte Kopie der Ebay-Anmeldeseite, die eingegebene Daten an die Phisher sendet.

Diese Phishing-Masche wurde von Benutzern der Netcraft-Toolbar entdeckt. Sie waren zunächst auf den Trick herein gefallen, die Anti-Phishing-Toolbar markierte jedoch die kopierte Seite der Betrüger als Fälschung. Netcraft informierte Ebay bereits in der letzten Juli-Woche darüber. Eine Stellungnahme von Ebay zu dem Problem liegt nicht vor.

Quelle und Links : http://www.pcwelt.de/news/sicherheit/117359/index.html

[SiLæncer]

 Ähnlich den gefälschten E-Mails vor sechs Wochen, die angeblich vom Versandhändler Otto stammten, sind seit heute Mails im Umlauf, die eine Kontosperrung in sieben Tagen androhen, sollte man die eBay-Gebühren in Höhe von 600,59 Euro nicht umgehend zahlen. Durch diesen Schreck werden sicher wieder einige Empfänger den Anhang Ebay Rechnung.pdf.exe per Doppelklick öffnen -- zumal die .exe-Datei als Icon das PDF-Symbol enthält.

Bei Ausführung des E-Mail-Anhangs aktiviert sich der Download-Trojaner TROJ_RECHNUNG.A und lädt Schadcode von mehreren Systemen im Internet nach. Es handelt sich dabei um eine Wurm-Komponente für Peer-to-Peer-Netze wie Kazaa und Imesh, einen Keylogger, der für den Trojaner Goldun entwickelt wurde (mcfCC4.dll), sowie ein Rootkit für Goldun (mcfdrv.sys), mit dem sich der Trojaner versteckt.

Allgemeine Hinweise zum Umgang mit E-Mails und Attachments liefert der heise Security-Artikel "Präventive Maßnahmen".

Siehe dazu auch:

    * Trojaner-Beschreibung von Trend Micro
    * Präventive Maßnahmen zum Umgang mit E-Mails und Dateianhängen
    * Rechnungs-Trojaner... find ich nicht gut auf heise Security
    * Wieder gefälschte Telekom-Mails mit Trojaner unterwegs auf heise Security


Quelle und Links : http://www.heise.de/newsticker/meldung/63804

[SiLæncer]

Aufmerksamen Lesern von heise online ist aufgefallen, dass Opera bei eBay-Suchen den Benutzer nicht direkt auf die Seiten des Auktionshauses führt, sondern den Zugriff über die Seiten des Werbedienstleisters Mediaplex leitet. Auf Nachfrage erklärte der Browser-Hersteller gegenüber heise online, dass man den Link von eBay erhalten habe.

eBay wiederum erklärte, bei der Vorgehensweise handele es sich "um die marktübliche Art und Weise zu 'tracken', wie viele Besucher auf diesem Weg zu eBay kommen". Opera ist im eBay-Partnerprogramm, erhält also für Klicks, die es an eBay weitervermittelt, eine Vergütung. Bei der Umleitung über Mediaplex würden alle datenschutzrechtlichen Aspekte eingehalten. Die Daten werden laut eBay nicht personalisiert und nur anonym über Mediaplex dargestellt.

Bei Firefox hatte ein ähnlicher Fall Ende 2004 für einen Sturm der Entrüstung gesorgt. Auch der Mozilla-Browser führte seine Benutzer über eine Umleitung zu eBay. Der Protest der Nutzerschaft führte letztlich dazu, dass die Umleitung ausgebaut wurde.

Da Opera dies nicht plant, müssen Benutzer des norwegischen Browsers, die den Angaben von eBay und Opera nicht trauen, auf die Suchfunktion verzichten -- oder sie von Hand ändern. Dazu muss man die Datei search.ini im Profilordner mit einem Texteditor editieren. Den Ordner gibt Opera aus, wenn man

about:opera

in die Befehlszeile eingibt. Beendet man den Browser und ersetzt man die (hier aus Platzgründen zweizeilig dargestellte) Zeile

URL=http://adfarm.mediaplex.com/ad/ck/707-1065-8356-16?RedirectEnter&partner=
01234&loc=http://search.ebay.de/search/search.dll%3Fshortcut=4%26st=2%26query=%s

durch

URL=http://search.ebay.de/%s

sollte Opera anschließend ohne Umwege direkt bei eBay suchen.

Quelle : www.heise.de

[SiLæncer]

Seit dem heutigen Morgen gehen in der Redaktion heise Security vermehrt Hinweise auf E-Mails ein, die unter dem Vorwand einer dringlichen eBay-Rechnung oder Mahnung versuchen, den Empfänger zum Öffnen des Anhanges zu bewegen. Bei diesem handelt es sich um eine Datei mit typischer Doppelendung namens Rechnung.pdf.exe. In den Nachrichten mit unterschiedlichen Betreffzeilen in der Art "Wichtige Rechnung", "Ebay-Mahnung" oder "Ebay-Kontosperrung" wird der Empfänger aufgefordert, die angehängte Rechnung auszudrucken und den geforderten Betrag zu überweisen. Andernfalls drohe die Sperrung des Zugangs. Der Anhang wird bis zum jetzigen Zeitpunkt noch von keinem Virenscanner zuverlässig als Gefahr erkannt.

Regelmäßig wird versucht, E-Mail-Empfängern durch diese Masche einen Trojaner unterzuschieben. Der Redaktion liegen rund zwei Wochen und einen Monat alte E-Mails mit identischem Strickmuster vor. Damals handelte es sich bei dem gleichnamingen, etwa 11 KByte großen Anhang um eine Variante des Trojaners "Win32.Agent" bzw. "Win32/TrojanClicker". Die eigentliche Schadsoftware wird von diesem erst in einem zweiten Schritt aus dem Internet nachgeladen. Es ist davon auszugehen, dass es sich in der aktuellen Welle ebenfalls um eine Variante eines solchen Nachlade-Trojaners handelt. Ältere Wellen hatten neben eBay-Kunden auch Kunden des Reisedienstes Opodo, des Versandhauses Otto und der Telekom im Visier.

Interessant ist eine auffällige Entwicklung im Verbreitungsmuster von Schädlingen. In der Vergangenheit breiteten sich Schadprogramme meist selbsttätig und kontinuierlich auf weitere Systeme aus. Solch eine massenhafte exponentielle Verbreitung wird allerdings schnell bemerkt und bekämpft. Offenbar wird im Gegensatz dazu in jüngster Zeit Schadsoftware beispielsweise durch Bot-Netze kontrolliert und schubweise verteilt. Dabei verfügen die Schädlinge immer seltener über Funktionen zur autonomen Verbreitung.

Immer häufiger werden in E-Mails auch nicht mehr die eigentlichen Schadprogramme verschickt. Statt dessen sind es jetzt oftmals schlanke Programme, die zunächst typische Antiviren-Software und Personal-Firewalls beenden, bevor sie ungehindert die eigentliche, viel komplexere Schadsoftware aus dem Internet nachladen und installieren. Solche Download-Trojaner lassen sich leicht erstellen und modifizieren. Durch ihre Einfachheit und Flexibilität entgehen sie oft auch aktuellen Virenscannern und Heuristiken.

Quelle und Links : http://www.heise.de/newsticker/meldung/65160

[SiLæncer]

Eine bekannte Masche hat noch nicht ausgedient: Trojanisches Pferd in angeblicher Rechnung.

Seit letzten Freitag werden zum wiederholten Mal angebliche Rechnungen oder Zahlungserinnernungen verschickt, die vorgeblich von Ebay kommen. Im Januar wurden ähnliche Mails im Namen des Computer-Versandhändlers Dell und einer kleiner Computerfirma aus Eschweiler verbreitet.

Die gefälschten Absenderangaben der Mails reichen von "eBay Collections" über "eBay Finance" bis "EBay Kundensupport". Der Betreff lautet zum Beispiel "14 Tage bis Ihre Kontosperrung" oder "Ihre Ebay.de Gebuehren". Der Text verweist auf den Anhang der Mail, den man ausdrucken solle.

Dieser Anhang ist 20.480 Byte groß, trägt den Dateinamen "Ebay-Rechnung.pdf.exe" und ein PDF-Symbol. Es handelt sich um ein Trojanisches Pferd vom Typ "Trojan-Downloader". Es kopiert sich als "ipfw.exe" in das System32-Verzeichnis von Windows und trägt sich in die Registry ein, damit es beim Windows-Start automatisch geladen wird.

Außerdem legt es im Verzeichnis "drivers" unterhalb Windows\System32 eine Datei "winut.dat" an. Diese enthält eine Reihe von Web-Adressen, von wo der Schädling Textdateien mit verschleierten Download-Adressen herunter lädt. Auf diese Weise bezieht er eine Datei "1.exe" von einem Server in der Schweiz. Diese gehört zur Familie der "Sicklebots" und versucht Kontakt zu einem russischem Server aufzunehmen.

Quelle und Links : http://www.pcwelt.de/news/sicherheit/131264/index.html

[SiLæncer]

Das Internet-Auktionshaus eBay fordert mehr als 100.000 deutsche Nutzer zur Wahl eines neuen Passworts auf. Eine Sicherheitssoftware habe anonym unsichere Zahlen- und Buchstabenkombinationen ermittelt, sagte eBay-Sprecherin Maike Fuest. Die betroffenen Mitglieder würden derzeit per automatisch generierter Mail angeschrieben. Ein neues Passwort muss dann über die offizielle eBay-Homepage eingerichtet werden.

"Es ist das erste Mal, dass wir so etwas machen", sagte Fuest. Ziel sei es, das Missbrauchsrisiko von eBay-Mitgliedskonten zu verringern, da sich einfache Passwörter leicht erraten ließen. Dazu gehören beispielsweise Begriffe aus Wörterbüchern oder Namen. Ein sicheres Passwort dagegen besteht aus einer möglichst beliebigen Kombination von groß und klein geschriebenen Buchstaben, Zahlen und Sonderzeichen. Ungewöhnlich ist allerdings, dass eBay bei der Passworteingabe nicht zwischen Groß- und Kleinschreibung unterscheidet, was die Erstellung eines sicheren Kennworts erschwert.

Wer sich heutzutage bei eBay anmeldet, werde automatisch auf die Sicherheitsstufe des gewählten Passworts hingewiesen, sagte Fuest. Bestimmte Zeichenfolgen würden aus Sicherheitsgründen gar nicht mehr zugelassen. Beim Sicherheitsportal und in der Online-Hilfe informiert eBay über Passwortwahl und Möglichkeiten, einen Account zu schützen.

Quelle : www.heise.de

[SiLæncer]

Das Internetauktionshaus eBay leistet Phishern unfreiwillig Schützenhilfe. So unterstützt eBay die automatische Weiterleitung auf externe Seiten – nach der erfolgreichen Anmeldung auf seinen eigenen Seiten. Dazu reicht offenbar die Angabe des Parameters continueURL in einem präparierten Link. Zwar ist die Weiterleitung auf eine externe Seite anhand der Adress- und Statuszeile ersichtlich, allerdings könnten Anwender dies schlicht übersehen, da sie sich ja zunächst auf der echten eBay-Seite per SSL eingeloggt haben und die betrügerische Seite im gleichen Gewand erscheint.

Im aktuellen Fall kursieren gefälschte eBay-Mails mit dem Betreff "Wiederhergestelltes Mitgliedskonto", die den Empfänger darüber informieren, dass seine Bank eBay informiert hätte, sein Konto sei manipuliert worden. Der enthaltene präparierte Link führt zunächst auf das eBay-Login. Nach der erfolgreichen Anmeldung auf den echten Seiten von eBay erscheint eine Meldung, man sei von eBay aufgrund von Unregelmäßgikeiten ausgeschlossen worden. Ursache dieser gefälschten eBay-Meldung ist wahrscheinlich der undokumentierte Parameter DisplaySUorNPBPopUp in der Phishing-URL, der eBays Skripte auf dem Webserver zu diesem Hinweis veranlasst, obwohl das Konto weiterhin gültig ist. Ein Klick auf "Weiter" führt dann schließlich auf die in continueURL angegebene eigentliche Phishing-Seite, auf der der Anwender Kontonummer, Bankleitzahl, Kontoinhaber und Anschrift zur Bestätigung seiner Identität wieder eingeben soll.

Was die Phisher mit diesen Daten wollen, ist nicht ganz klar, eventuell planen sie, die Konten ihrer Opfer per Lastschrifteinzug leerzuräumen. Möglich ist auch, dass sie die Konten für Geldwäsche missbrauchen wollen, indem sie die Beute anderer Raubzüge dorthin überweisen und anschließend mit dem Opfer Kontakt treten und es bitten, das fehlgeleitete Geld "freundlicherweise" per Western Union zu überweisen. Nach bisherigen Erkenntnissen von heise Security gelangen die eBay-Anmeldedaten selbst aber nicht in die Hände der Betrüger.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Wer in den vergangenen Tagen per E-Mail eine vermeintliche Rechnung von eBay erhalten hat, sollte überprüfen, ob sein Rechner eventuell mit einem Trojaner infiziert ist. Die gefälschte Rechnung trug im Anhang nämlich eine als PDF-Datei getarnte ausführbare Datei, in der ein Schädling namens TR/Dldr.Small/TROJ_YABE.G steckt. Wie üblich kündigt der Mail-Text eine relativ hohe Summe an, um den verunsicherten Empfänger zum Öffnen des Anhangs zu verleiten. Derzeit erkennen noch nicht alle Scanner den Schädling, der auf infizierten Windows-Systemen weitere Dateien aus dem Internet nachlädt. Die Seiten zum Nachladen sind derzeit wohl aber noch nicht aktiv.

Der Schädling hat keine eigene Verbreitungsroutine, sondern wurde über Spamlisten an eine Vielzahl von Anwendern verschickt. Anwender sollten auf keinen Fall verdächtige Anhänge öffnen und bei allen unverlangt zugesandten Mails größte Vorsicht walten lassen. Weitere Hinweise zum Schutz vor Viren und Würmern finden Sie auf den Antivirus-Seiten von heise Security.

Siehe dazu auch:

    * Beschreibung von TROJ_YABE.G von Trend Micro


Quelle und Links : http://www.heise.de/security/news/meldung/73601

[SiLæncer]

Eine neue Phishing-Welle schwappt in die Mailboxen der Internetnutzer. Dieses Mal soll die Mail die Anwender verunsichern, indem sie diesen vormacht, sie hätten das Höchstgebot auf einen Gegenstand abgegeben. Die Mail ist jedoch in extrem schlechtem, nahezu unverständlichen Deutsch verfasst.

Die Links in den Phishing-Mails sind ebenfalls kaum zur Täuschung der Nutzer geeignet. Zwar ist in den Links die Adresse www.ebay.de enthalten, sie sind aber vor den eigentlichen Server in der Form http://www.ebay.de.xxyy.zz/ gesetzt. Der Server, auf dem die Phishing-Seite gehostet war, liefert inzwischen nur noch eine Fehlermeldung aus, wenn man den Links in der Mail folgt.

Empfänger von Phishing-Mails sollten die Links in den E-Mails nicht einfach anklicken. In der Vergangenheit haben einige dieser Seiten versucht, über Sicherheitslücken in Browsern Schadsoftware auf dem Rechner zu installieren. Außerdem werden inzwischen auch die Empfänger-Adressen übertragen, wodurch die Phisher die Qualität ihrer Mail-Datenbanken verbessern können.

In der Vergangenheit waren so gut gemachte Phishing-Mails unterwegs, dass selbst eBays Fraud Investigation Team (FIT) Probleme hatte, sie zu identifizieren. Die derzeit versendeten Mails sollte das FIT jedoch zweifelsfrei als Phishing einstufen können.

Quelle : www.heise.de

[SiLæncer]

Das US-CERT warnt vor einer kritischen Lücke im eBay Enhanced Picture Services, der zum Hochladen von Bildern in Auktionen dient. eBay stellt für diesen Dienst ein ActiveX-Control für den Internet Explorer zur Verfügung. Dem Fehlerbericht zufolge lässt sich allerdings ein Buffer Overflow in diesem Control von Angreifern ausnutzen, um über das Netz Code auf den Rechner zu laden und auszuführen. Allerdings muss das Opfer eine präparierte Webseite oder ein HTML-Dokument aufrufen, dass diese Lücke ausnutzt.

Das betroffene Control EPUImageControl (EUPWALcontrol.dll) ist nach Angaben des US-CERT im Lieferumfang von "Sell Your Item (SYI)", "Setup & Test eBay Enhanced Picture Services" und "Picture Manager Enhanced Uploader" enthalten. Ob auch deutsche eBay-Anwender das fehlerhafte Control auf ihren Rechnern haben, etwa durch Nutzung des ebay Bildermanagers, ist unklar. eBay Deutschland konnte auch nach diversen Anfragen keine Antwort geben.

Zumindest gibt eBay USA den Anwendern eine Anleitung an die Hand, wie diese feststellen können, ob das betroffene Control auf dem Rechner ist: Der Internet Explorer zeigt unter Extras/Internetoptionen/Temporäre Internetdateien/Einstellungen/Objekte Anzeigen die installierten Controls an. Ist dort EPUImageControl Class zu finden, hat der Anwender unter Umständen ein Problem. eBay hat zwar eine neue Version des Control zu Verfügung gestellt, es wird jedoch nur bei Nutzung des Bilderdienstes auf eBay zur Aktualisierung angeboten. Wenn sich des Controls ganz entledigen will, löscht es einfach.

Siehe dazu auch:

    * eBay Enhanced Picture Services ActiveX control buffer overflow,Vulnerability Note VU#597721 von US-CERT

Quelle und Links : http://www.heise.de/security/news/meldung/75297

[SiLæncer]

Wieder gehen Kriminelle mit vorgeblichen Ebay-Rechnungen auf Bauernfang. Sie senden Malware als Mail-Anhang in einer ZIP-Datei.

Es scheint sich immer noch zu lohnen mit vorgeblichen Rechnungen, die Spam-artig per Mail geschickt werden, auf die Jagd nach unvorsichtigen Anwendern zu gehen. So werden zurzeit wieder Mails mit vorgetäuschten Ebay-Rechnungen verbreitet, in denen ein Trojanisches Pferd steckt.

Die Mails kommen mit einem Betreff wie "eBay Rechnung vom 29.06.2006" oder "eBay International AG Rechnung vom 13.07.2006". Mit dem Satz "In der beigelegten PDF Datei finden Sie die genaue Auflistung ihrer Rechnung" sollen die Empfänger zum Öffnen der vermeintlichen PDF-Datei verleitet werden. Die Mails enthalten einen Anhang "Ebay-Rechnung.pdf.zip". In diesem ZIP-Archiv steckt eine EXE-Datei mit dem Namen "Ebay-Rechnung.pdf.exe", die nur 7680 Bytes groß ist und ein PDF-Symbol trägt.

Wird diese vermeintliche PDF-Datei per Doppelklick geöffnet, startet das Trojanische Pferd eine Download-Routine, die weitere Malware auf den Rechner schaufelt. Dabei handelt es sich um einen Schädling, der Anmeldedaten für das Online-Banking abfangen und an die Täter melden soll.

Quelle : www.pcwelt.de

[kater]

dacht ich doch ich bin ein helles Köpfchen, aber denkste. Hab genau diese Mail erhalten und geöffnet, aber die PDF nicht, da ich im genannten Zeitraum keine Aktivitäten hatte. Wäre aber sonst reingefallen. Im ZIP selbst ist durch AntiVir nichts gefunden worden. Aber es steht ja auch, daß sich die Malware erst installiert.
Uff kater

[SiLæncer]

Schwein gehabt 

[higuenti]

An Alle bei denen die "Ebay-Rechnung.pdf.exe" als "Ebay-Rechnung.pdf"
angezeigt wird:
Extras-> Ordneroptionen->Ansicht-> Erweiterte Einstellungen-> Dateien und Ordner
Erweiterungen bei bekannten Dateitypen ausblenden = KEIN HÄKCHEN !!

Dann sieht man sofort, daß es sich um eine EXE handelt.