Trickbetrüger klauen eBay-Kundendaten

Trickbetrüger versuchen derzeit an Kreditkartennummern und Benutzerdaten von eBay-Kunden zu gelangen. In gefälschtem Mails fordern sie Kunden auf, ihre Daten zu aktualisieren. Die Mail trägt den gültigen Absender ebay.com. In der Mail ist ein Link angegeben, der zu eBays Seiten führt. Allerdings ist der englische Text und der Link in der Mail als GIF-Bild eingebettet.

Der Betrugsversuch funktioniert natürlich nur, wenn der Anwender HTML-Mail aktiviert hat. Ein Klick auf den vermeintlichen Link führt nicht zu den Seiten von eBay, sondern zu einem mit dem Bild verknüpften Link -- dem Webserver (211.217.224.102) der Betrüger, der auf dem ungewöhnlichen Port 4901 arbeitet. Eine sehr gut gemachte Fälschung einer englischen eBay-Seite fordert dort dazu auf, seine persönlichen Daten inklusive E-Mail-Adresse, Passwort und Kreditkartennummer einzugeben. Ein PHP-Skript ebay.php sammelt die Kundendaten und leitet den Anwender danach auf die Startseiten von eBay.com weiter. Interessanterweise finden sich auf dem Server der Trickbetrüger bereits Exploits, die die kürzlich gemeldete Object-Data-Tag-Schwachstelle ausnutzen.

Anwender sollten penibel darauf achten, dass sie Adressen kennen, zu denen sie geführt werden. Im Zweifelsfall sollte man die URL manuell eingeben und selbst die entsprechenden Aktualisierungsseiten anwählen. Auch sollte man stutzig werden, wenn man als Kunde von eBay.de Mails von eBay.com erhält. Über ähnliche Fälle hatte heise online bereits bei der Citibank und heise security beim eBay-Bezahldienst PayPal berichtet. (dab)