heise online › News › 2006 › KW 25 › Paypal-Phishing via Cross-Site-Scripting
19.06.2006 00:07
Paypal-Phishing via Cross-Site-Scripting
Mit einem raffinierten Trick lockten Phisher am Wochenende Benutzer des Dienstes auf eine der Paypal-Seite nachempfundene Seite, wo sie Kreditkartennummern und andere persönliche Informationen eingeben sollten, berichtet Netcraft. Das Besondere an dieser Phishing-Aktion war, dass der Link in der E-Mail tatsächlich auf eine offizielle, https-gesicherte Paypal-Seite führte. Diese zeigte die Meldung
"Your account is currently disabled because we think it has been accessed by a third party. You will now be redirected to Resolution Center."
Daraufhin wurde das Opfer tatsächlich auf einen anderen Server weitergeleitet, wo er sich mit User-Name und Passwort anmelden sollte. Da dieses angebliche Resolution Center ein Server unter Kontrolle der Angreifer war, landeten diese Daten bei denen.
Offenbar war eine Paypal-Applikation anfällig für Cross-Site-Scripting (XSS). Denkbar ist beispielsweise, dass sie einen Ausgabetext aus einer Variable entnahm, deren Inhalt über die URL festgelegt werden konnte. Diese bauten die Phisher dann so zusammen, dass sie obige Meldung und möglicherweise auch gleich den Script-Code für die Weiterleitung enthielt. Amerikanischen Medien zufolge hat Paypal reagiert und die XSS-Lücke beseitigt.
Diese Entwicklung hin zu immer ausgefeilteren Phishing-Techniken kommt nicht überraschend. Cross-Site-Scripting wurde zwar lange Zeit als Sicherheitsproblem nicht ganz ernst genommen, weil es ja keinen direkten Schaden anrichten kann. Aber Experten warnen seit geraumer Zeit, dass es unter anderem raffinierte Täuschungsmanöver ermöglicht, die vom Opfer nur noch schwer als solche zu erkennen sind. Offenbar suchen Phisher nun aktiv nach solchen XSS-Lücken auf den Seiten von Banken und Bezahldiensten. Dass sie dabei auch weiterhin fündig werden, steht außer Frage, denn nach Erkenntnissen von heise Security finden sich auch auf Seiten von deutschen Banken immer wieder derartige Fehler.
Siehe dazu auch:
(akl/c't)
- Cross-Site-Scripting: Datenklau über Bande, Artikel auf heise Security
Version zum Drucken | Per E-Mail versenden | Newsletter abonnieren
Kommentare lesen (141 Beiträge)
Themen-Forum Schwachstellen
English version: Paypal phishing via cross-site scripting
heise Security
Programmieren von Exploits
Sieben Tutorials zeigen alles, was man wissen muss, um zuverlässige Exploits für Buffer Overflows in Software zu schreiben
mehr...
TLS-Renegotiation-Schwachstelle erklärt
Anhand einfacher Grafiken zeigt Thierry Zoller, wie sich die TLS-Renegotiation-Schwachstelle ausnutzen lässt.
mehr...
Security Operations von Innen
Im Security Operations Center (SOC) überwacht Symantec aus der Ferne die Netzwerke seiner Kunden auf Hackerangriffe und verdächtige Aktivitäten. Wir haben uns das SOC von innen angeschaut.
mehr...
Alerts
News
Sicherheitslücken in Add-ons gefährden Firefox-Anwender
ENISA-Studie hilft bei Risikoabschätzung für Cloud Computing
Fedora rudert bei den Installationsrechten zurück
PHP 5.3.1: Bug-Fixes und Sicherheitskorrekturen
Forderungen nach mehr Videoüberwachung für Sicherheit in Bus und Bahn
ONLINE MARKT
Werbung
Verbundene Unternehmen
Das eBook des Tages!