Rumänische Betrüger in der eBay-Entwickler-Zone
Geändert am 13.09.2007
Eine typische Phishing-Mail, die als Absender eBay vortäuscht, wurde im August 2007 verschickt:
Eine wahrhaft täuschend echt gemachte Phishing E-Mail
Üblicherweise führen solche Phishing-Mails zu einer gefälschten Einlog-Seite, in der ein Mitglied zur Eingabe des Passworts aufgefordert wird.
In diesem Fall führten die Links zunächst tatsächlich auf einen Artikel, der bei eBay eingestellt war: Zu einer Testauktion in der so genannten „Sandbox“, einem Testbereich im eBay-Entwicklerprogramm, zu dem nur registrierte Entwickler zugelassen sind:
»2. Holen Sie sich Ihre Zugangsdaten (Sandbox Keys)
Um sich an der API identifizieren zu können, benötigen Sie Zugangsdaten, so genannten Keys (Schlüssel). Diese müssen Sie sich generieren.«
In diesem Fall führten die Links zunächst tatsächlich auf einen Artikel, der bei eBay eingestellt war: Zu einer Testauktion in der so genannten „Sandbox“, einem Testbereich im eBay-Entwicklerprogramm, zu dem nur registrierte Entwickler zugelassen sind:
»2. Holen Sie sich Ihre Zugangsdaten (Sandbox Keys)
Um sich an der API identifizieren zu können, benötigen Sie Zugangsdaten, so genannten Keys (Schlüssel). Diese müssen Sie sich generieren.«
Eine anscheinend leere Seite in der für Entwickler vorbehaltenen Sandbox
Eine Testauktion ohne Bild und Beschreibung? Auf dieser Seite ist eine kleine Flash-Animation, die über Java-Script gesteuert...
Aus dem Quellcode der anscheinend leeren Seite
... auf einen Betrugs-Server weiterleitet und von dort eine gefälschte eBay-Einlogseite in deutsch präsentiert.
Hier einloggen? Aber ganz sicher nicht! An der Browserzeile kann man (in der Vergrößerung) deutlich erkennen, dass dies nicht die Einlogseite von eBay ist
Ein dort eingegebenes Passwort landete sofort bei rumänischen Betrügern, denn aus den erweiterten Kopfzeilen der Phishingmail ergab sich als Absendeort Bukarest. Auch die Benennung einer Datei mit dem rumänischen Ausdruck „pentru fraieri“ weist in diese Richtung.
Die Verkaufsliste zeigt, dass es auch eine englischsprachige Version der gefälschten Einlog-Seite gegeben haben dürfte; ein Artikel ist mit „US Item“ benannt.
Offenbar wurden auch Sandbox-Tests für den US-amerikanischen „Markt“ durchgeführt
Anlässlich der viel versprechenden Ankündigungen eBays zur Einführung der „neuen Community“ wurde von einem Mitglied öffentlich in einem eBay-Forum darauf hingewiesen, dass Betrüger die Entwickler-Zone von eBay zu eigenen Tests benutzen. Nachdem auf die Frage nach den Testmethoden für die Neuerungen keine Auskunft gegeben wurde, war die Antwort: »Schade. Ich hätte die Sandboxen von ebay.it und ebay.de empfohlen. Da treibt sich nämlich schon längere Zeit ein rumänischer Scammer drin rum, der dort von eBay unbehelligt testet, wie er die Sicherheitsmechanismen von eBay austricksen und umgehen kann. Die Opfer seiner Phishing-Mails leitet er auch permanent dort durch.«
Die Wunschliste: der eBay-eMail-Extractor
(Update am 13.09.2007)
Wenn man Probleme mit einem Programm hat, fragt man am besten Leute, die sich damit auskennen.
Wenn es sich um ein Programm handelt, das die E-Mail-Adressen der eBay-Mitglieder extrahiert, dann ist die richtige Stelle sicher das Entwickler-Forum bei eBay selbst. Dort sitzen Fachleute und laden freundlich ein, Fragen zu stellen: »Welcome to the Tech Soup Forum. Developers building and supporting applications with eBay Web Services can ask questions and get answers«
Wenn es sich um ein Programm handelt, das die E-Mail-Adressen der eBay-Mitglieder extrahiert, dann ist die richtige Stelle sicher das Entwickler-Forum bei eBay selbst. Dort sitzen Fachleute und laden freundlich ein, Fragen zu stellen: »Welcome to the Tech Soup Forum. Developers building and supporting applications with eBay Web Services can ask questions and get answers«
Screenshot aus dem Entwickler-Forum.
Ein neu angemeldetes Mitglied aus Bangladesh präsentiert den Code, aber die Frage des spezialisierten eBay-Mitarbeiters, was denn nun genau das Problem sei, wollte er lieber nicht beantworten. Sollte er ihm etwa erklären, dass man mit dem Programm nun leider nicht mehr die Mitgliedsnamen mit den E-Mail-Adressen der Mitglieder kombinieren kann, um ihnen in Betrugsabsicht gefälschte „Angebote an unterlegene Bieter“ zu schicken? Er versucht es lieber an anderer Stelle erneut, im eBay-Entwickler-Forum für Wunschlisten. Auch dort wurde nicht erkannt, dass das Programm nur im weitesten Sinne etwas mit Wunschlisten zu tun: Nämlich mit dem Wunsch, eBay-Mitglieder zu betrügen. Die Rüge des eBay-Mitarbeiters bezieht sich nur auf die Wahl des falschen Forums und die Wiederholung der Frage.
Ein Kollege aus Indien erkennt – im Gegensatz zu den Developer-Fachleuten – das Programm und hätte auch gern die Lösung, er bittet um die Zusendung des funktionstüchtigen Codes und einer kleinen Erklärung dazu.
Er hätte besser gleich „Vladuz“ fragen sollen, denn der ist ja auch im Developer-Programm und hatte eine Lösung des Problems angeboten, die Erweiterung „eBayCaptcha Populator“. Damit funktionierte der eBay-eMail-Extractor wieder, wie falle-internet.de mit einem Nachbau testen konnte und in dem Artikel „Ein Hacker will es wissen: Der eBay-Test“
darüber berichtete.
Später kommentierte „Vladuz“ die Einführung der verschlüsselten Bieterlisten: »This will ruin all the Second Chance systems. Good job.«
Er hätte besser gleich „Vladuz“ fragen sollen, denn der ist ja auch im Developer-Programm und hatte eine Lösung des Problems angeboten, die Erweiterung „eBayCaptcha Populator“. Damit funktionierte der eBay-eMail-Extractor wieder, wie falle-internet.de mit einem Nachbau testen konnte und in dem Artikel „Ein Hacker will es wissen: Der eBay-Test“
darüber berichtete.Später kommentierte „Vladuz“ die Einführung der verschlüsselten Bieterlisten: »This will ruin all the Second Chance systems. Good job.«
In Deutschland waren die Bieterlisten aber weiter einsehbar und standen bereit zum Sammeln von Mitgliederdaten mit einem noch effektiveren Programm zum Datenabruf über PayPal.
