Nach Angaben von Aladdin Knowledge Systems gehen die Angriffe auf Nutzerkonten bei Ebay von einem umfangreichen Botnet aus, das Identitätsdiebe in mehreren Schritten – beginnend mit der Manipulation legitimer Web-Seiten – aufgebaut haben. Laut Ofer Elzam, Produkt-Manager von Aladdins Anti-Malware-Lösungen "eSafe", handelt es sich dabei um mindestens 300 kompromittierte, weltweit verteilte Sites.
Legitime Web-Seiten mit Malware zu versehen ist nicht neu, allerdings wird diese Praxis seit Anfang dieses Jahres verstärkt angewandt. Erst im Juni hatten Hacker rund 10.000 weltweit gehostete Websites auf diese Weise gekapert. Dabei werden die Sites über SQL-Injection-Schwachstellen mit IFrame-Angriffscode versehen, der die Besucher dann auf andere, mit einem Trojaner versehene Web-Seiten lotst. Dieser infiziert das Opfersystem und verwandelt den Rechner in einen Zombie oder Bot, beschreibt Elzam eine mittlerweile gängige Methode, legitime Web-Seiten zu hacken und ihre Besucher zu infizieren.
Ein auf diese Weise kreiertes, vermutlich bereits seit August aktives Botnet wird laut Aladdin derzeit dazu genutzt, bei Ebay verschiedene Kombinationen von Benutzernamen und Passwörtern auszuprobieren. Dazu kommunizieren die Trojaner-behafteten PCs (Bots) über ein Ebay-API (Application Programming Interface) direkt mit der Datenbank des Online-Auktionshauses. Mit hinreichend vielen Kombinationen sei es den Kriminellen möglich, an valide Zugangsdaten zu gelangen. Um bei Ebay keinen Verdacht zu erregen, beschränke sich jeder Bot-Rechner auf nur wenige Kombinationen. "Ich glaube nicht, dass Ebay den Angriff überhaupt bemerkt hat", so Elzam. So könne die verteilte Attacke den Eindruck erwecken, dass hier lediglich ein Händler Bestätigungen an Käufer schicke.
Was die Identitätsdiebe mit gestohlenen Zugangsdaten angestellt haben, ist derzeit noch nicht klar. Das Blog-Posting eines Ebay-Nutzers könnte allerdings auf einen möglichen Verwendungszweck hindeuten: Jemand in England habe sich in seine persönlichen Ebay-Daten gehackt und diese so verändert, dass sie als eine komplett gefälschte Identität mit englischer E-Mail-Adresse erscheine, schreibt ein in Texas beheimateter Buchsammler, der sich im Blog als Sam Houston bezeichnet. Daraufhin habe der Hacker mindestens 25 Mails an britische Privatpersonen verschickt, die auf der Site Sony-Notebooks zum Verkauf angeboten hätten. Darin habe die dubiose Person den gewünschten Kaufpreis überboten und um schnellstmögliche Antwort per Mail gebeten. Auch den PayPal-Account des Bloggers soll der Angreifer manipuliert haben – offenbar, um darüber die 25 Notebooks zu bezahlen. (kf)