Geavanceerde eBay-fraude gemeld

Oplichters leiden surfers om via eBay.com

16 februari 2005 | Jamie Biesemans Fraudeurs die de naam van eBay misbruiken om financiële informatie van surfers te ontfutselen, maken gebruik van een nieuwe, zeer misleidende techniek. Veiligheidsexperts op de BugTraq-mailinglijst melden het bestaan van mails die zijn voorzien van een eBay-internetadres, maar toch naar een vervalste site verwijzen. Kennelijk maken de oplichters gebruik van een legitieme eBay-functie om content bij derden op te halen.

Mails die ontworpen zijn om surfers op te lichten (phishing) worden steeds meer geavanceerder. In zijn oorspronkelijk vorm leek een typische phishingmail heel sterk op een officieel verzoek van een betrouwbare bron, zoals PayPal, Citibank of een andere bank.

Maar gelukkig verraadde de bijhorende link meestal de opzet. Want in plaats van te verwijzen naar het legitieme adres, werd een surfer naar een site met een misleidende of gehackte url geleid. Een recent exemplaar dat in onze mailbox belandde, beweerde van PayPal te komen maar verwees in werkelijkheid naar een vervalste webpagina verborgen op een forumsite van een Belgische provider.

De nieuwe techniek is misleidend omdat de link in de fraudemail wel degelijk naar de eBay-site verwijst. Voor de doorsnee surfer en sommige anti-phishingtools wordt het daardoor moeilijker om te zien dat het gaat om een poging tot oplichting.

De eerste melding op de BugTraq-mailinglijst werd ondertussen bevestigd door andere experts op de lijst.

Bij de nieuwste lichting valse eBay-mails zit het venijn achteraan de url. Die is vaak ellenlang; door de beperkte grootte van een adresbalk zien de meeste surfers immers alleen het eerste en in dit geval legitieme deel van het internetadres.

Achteraan zit echter een zogenaamde redirect verwerkt die een argeloze surfer naar een valse site brengt. Nieuw is dat hij eerst bij de echte eBay-site passeert, wat het slachtoffer mogelijk geruststelt.

Een voorbeeld van een vervalste url zou zijn http://cgi4.ebay.com/ws/eBayISAPI.dll?MfcISAPICommand= RedirectToDomain&DomainUrl=http://www.zdnet.nl. In het voorbeeld verwijst de url naar ZDNet Nederland, in plaats van de oorspronkelijk phishingsite.

Hoewel ten tijde van schrijven van dit artikel de redirect-techniek nog functioneert, hebben veiligheidsexperts eBay wel al op de hoogte gebracht. [Ondertussen lijkt eBay de linktechniek te blokkeren, nvdr] Wie nu twijfelt over de echte oorsprong van mails die schijnbaar van eBay of PayPal komen, moet gewoon rekening houden dat die bedrijven nooit via e-mail accountgegevens opvragen.

Als een bijkomende maatregel tegen oplichters, opende eBay in januari een nieuw Mijn Berichten-afdeling als exclusieve kanaal voor interactie rond accountgegevens.

 

Lees meer artikels over : phish, ebay, fraude, paypal

bron: ZDNet