Schnäppchen gesucht -
Computervirus eingefangen
Geändert am 31.05.2010
Mal eben ein vermeintliches Schnäppchen bei eBay angeschaut, schon ist der Rechner mit einem Virus verseucht: das erlebten kürzlich hunderte eBay-Mitglieder.
Das Risiko der Einbindung von aktiven Inhalten in Auktionsbeschreibungen ist seit Jahren bekannt, eine »praktische Relevanz« wurde jedoch von eBay stets bestritten. Ein aktueller Fall belegt das gezielte Ausnutzen dieser Sicherheitslücke zur Verbreitung von Schadsoftware.
Zwei sensationell günstige Angebote von 400 iPads und PlayStations fanden am 25.05.2010 viele Interessenten. Der vermeintliche Verkäufer war ein vertrauenswürdig erscheinender Powerseller mit über 32.000 Bewertungen und der Auszeichnung »Verkäufer mit Top-Bewertung«. Die beiden Angebote waren binnen weniger Stunden ausverkauft:
Ausschnitt aus der Verkaufsliste eines der beiden betrügerischen Angebote - Bild anklicken für Komplettansicht: in 2 Angeboten wurden insgesamt 400 Artikel verkauft
Was die Betrachter und Käufer nicht ahnten: Das Mitgliedskonto des Powersellers war gekapert, Betrüger hatten die Angebote eingestellt. Und diese hatten es im wahrsten Sinne in sich:
Ein kleiner Ausschnitt des in die Artikelbeschreibung integrierten Javascripts. Zur Verschleierung wurde ein sogenannter Obfuskator eingesetzt.
In die Artikelbeschreibungen war ein Javascript integriert, welches beim Öffnen des Angebots einen nicht sichtbaren Bereich einfügte. In diesem »iframe« wurde eine speziell präparierte HTML-Seite von einem lettischen Server aufgerufen, die wiederum ein Java-Applet nachlud und ausführte. Von dem Applet wurde eine bekannte Sicherheitslücke ausgenutzt, um vom Nutzer unbemerkt Schadsoftware auf dessen Rechner zu installieren. Bereits seit Februar 2010 sind ähnliche Angriffe bekannt; damals waren Leser der Seiten »handelsblatt.de« und »zeit.de« betroffen, wie »heise online« berichtete.
Infiziert wurden Rechner von eBay-Mitgliedern, bei denen Java 6 in einer Version vor Update 17 (Java 5: vor Update 22) installiert und im Browser freigegeben war. Außerdem musste Javascript aktiviert sein, was allerdings ohnehin Voraussetzung ist, um wesentliche Funktionen der eBay-Plattform nutzen zu können. Anti-Viren-Software mit aktuellen Virendefinitionen schützte viele Betrachter nicht, da die eingesetzte Schadsoftware zum Zeitpunkt des Angriffs nur von 6 der 41 gängigsten Anti-Viren-Programme erkannt wurde.
Neben der Installation eines »Keyloggers«, also eines Programms zum Mitscheiden von Tastatureingaben wie beispielsweise eBay- oder PayPal-Passwort, wurden auf den erfolgreich angegriffenen Rechnern offenbar Hintertüren zum Einfall weiterer Schädlinge geöffnet. Selbst Betroffene, die ihr System im Nachhinein mit einem der in Frage kommenden Virenscanner säubern konnten, müssen also davon ausgehen, dass sich ihre Rechner derzeit unter der Kontrolle von Kriminellen befinden und alle sensiblen Daten ausgespäht wurden. Dagegen hilft nur das Einspielen eines vor der Infektion angefertigten Backups bzw. das Neuaufsetzen des gesamten Systems sowie das Wechseln sämtlicher gespeicherter oder seit dem Angriffszeitpunkt verwendeter Passwörter.
Aufgrund des unschlagbaren Preises waren die manipulierten Artikel auch auf verschiedenen „Schnäppchenseiten“ im Internet verlinkt. Außer den 400 Käufern haben vermutlich tausende Interessenten die infizierten Beschreibungen aufgerufen, auch dann noch, als alle iPads und Playstations längst „ausverkauft“ waren. Wie viele Nutzer tatsächlich von dem Angriff betroffen waren, ist derzeit noch völlig unklar. Die meisten von ihnen dürften noch nicht einmal Kenntnis davon haben, dass ihr Computer durch das Betrachten einer eBay-Artikelbeschreibung von Viren verseucht wurde. Zu der Frage, ob eBay anhand seiner Logfiles und Protokolle die betroffenen Nutzer identifizieren und auf die Gefahr aufmerksam machen wird, hat eBay bislang keine Stellung genommen.
Gefährdung „ausgeschlossen“?
Die Risiken solcher Manipulationen durch den möglichen Einsatz von Javascript in den Angebotsbeschreibungen sind seit Jahren bekannt, auch »falle-internet.de« berichtete bereits zu diesem Thema. In einer »Stellungnahme von eBay zum missbräuchlichen Einsatz von Schadsoftware in Artikelbeschreibungen« vom 12. März 2008 heißt es: »Der Einsatz solcher Schadsoftware hatte und hat keine praktische Relevanz auf dem eBay-Marktplatz. Nichts desto trotz hat eBay [...] bereits seit September 2005 die Nutzung von Technologien wie Javascript oder Flash an bestimmte Kriterien geknüpft. Nur Verkäufer, die entweder Teilnehmer des PowerSeller-Programms, "Geprüftes Mitglied", verifiziertes PayPal-Mitglied oder länger als 500 Tage bei eBay angemeldet sind und mehr als 500 Bewertungspunkte aufweisen, können auf dem deutschen eBay-Marktplatz Technologien wie JavaScript [...] verwenden«. Es sei »nahezu ausgeschlossen«, dass solche Mitglieder »den eBay-Marktplatz in dieser missbräuchlichen Weise nutzen«.
In einer Antwort darauf gab »falle-internet.de« bereits damals zu bedenken: »Jeden Tag fallen Mitgliedskonten mit den erforderlichen Eigenschaften in die Hände von Kriminellen«. Im Mai 2010 wurden durch »falle-internet.de« beispielsweise rund 300 Mitgliedskonten, die von Betrügern übernommen waren, identifiziert und an eBay gemeldet. Mehr als die Hälfte von ihnen erfüllte die Kriterien zum Einsatz von aktiven Inhalten. Bei den Meldungen von »falle-internet.de« handelt es sich allerdings nur um einen Bruchteil der tatsächlich weltweit gekaperten Mitgliedskonten. Online-Kriminelle verfügen zu jedem Zeitpunkt über tausende von eBay-Mitgliedskonten, mit denen sie Schadsoftware über eBay verbreiten können.
eBay: Keine Reaktion - kein Personal?
In diesem konkreten Fall hätte durch eine schnelle Reaktion von eBay jeder Schaden vermieden werden können. Der betroffene Händler hatte eBay sofort telefonisch davon in Kenntnis gesetzt, dass er keinen Zugriff mehr auf sein Mitgliedskonto hatte. Auch sein Besuch im »Live-Chat« konnte die Bearbeitung nicht beschleunigen. Andere eBay-Mitglieder hatten die Angebote ebenfalls bereits als gefährlich erkannt und an eBay gemeldet. Trotz allem blieben die Artikel fast einen Tag online und bei jedem Betrachter fand ein Infektionsversuch statt. Erst nach einer öffentlichen Darstellung der Ereignisse im eBay-Forum „Sicherheit“ reagierte eBay endlich und löschte die manipulierten Angebote.
Speziell bei gekaperten Mitgliedskonten kommt es auf jede Minute an:
- Schnäppchenjäger bezahlen oft unmittelbar nach dem vermeintlichen Kauf.
- Schadsoftware wird bei jedem Aufruf verbreitet.
- Gekaperte Mitgliedskonten dienen als Multiplikatoren, wenn sie für gezieltes Phishing über das eBay-Mail-System eingesetzt werden.
Warum eBay die Gefahr, die von den manipulierten Artikelbeschreibungen ausging, nicht erkannte und auch nach den Hinweisen verschiedener Nutzer nur zögerlich reagierte, ist zur Zeit unklar. Anfang 2010 hatte eBay Deutschland 400 von 630 Mitarbeitern in Dreilinden entlassen, auch im Sicherheitsbereich gab es Einschnitte. Die Abteilung zur Bearbeitung gekaperter Mitgliedskonten wurde ersatzlos gestrichen. Einen Zusammenhang zur aktuellen Panne wollte eBay auf Anfrage von »falle-internet.de« allerdings weder bestätigen noch dementieren.
falle-internet.de meint:
Bringen Sie verwendete Software immer mit Updates auf den neuesten Stand, sobald diese verfügbar sind. Das aktuelle Beispiel demonstriert eindrucksvoll, dass Anti-Viren-Programme nur bedingt vor Schadsoftware schützen können.
Solange eBay den Nutzern die Verwendung aktiver Inhalte wie JavaScript oder Flash nicht generell verbietet oder zumindest auf zuvor von eBay zertifizierte Inhalte beschränkt, gibt es keinen allgemein wirksamen Schutz vor Angriffen über eBay-Artikelbeschreibungen.
Falls möglich, sollte ein Script-Blocker (wie z.B. „NoScript“ für den FireFox-Browser) verwendet werden, der selektiv zur Benutzung der eBay-Website benötigte Scripte zulassen kann. Im Gegensatz zum kompletten Deaktivieren von JavaScript im Browser bleibt eBay auf diesem Weg - wenn auch mit Einschränkungen - benutzbar.
Solange eBay den Nutzern die Verwendung aktiver Inhalte wie JavaScript oder Flash nicht generell verbietet oder zumindest auf zuvor von eBay zertifizierte Inhalte beschränkt, gibt es keinen allgemein wirksamen Schutz vor Angriffen über eBay-Artikelbeschreibungen.
Falls möglich, sollte ein Script-Blocker (wie z.B. „NoScript“ für den FireFox-Browser) verwendet werden, der selektiv zur Benutzung der eBay-Website benötigte Scripte zulassen kann. Im Gegensatz zum kompletten Deaktivieren von JavaScript im Browser bleibt eBay auf diesem Weg - wenn auch mit Einschränkungen - benutzbar.
