News

eBay schließt RFD-Sicherheitslücke

Seit vielen Jahren schon ist eBay eins der beliebtesten Ziele für Phishing und viele andere Angriffsarten, und Cyberkriminelle perfektionieren ihre Taktiken und Methoden ständig. Ihre Effektivität ist zu einem großen Teil von der Fähigkeit abhängig, die Anwender davon zu überzeugen, dass sie sich auf der echten Website von eBay befinden. Und eBay hat nun eine Sicherheitslücke geschlossen, die das wesentlich vereinfacht hat.

Auf der Website befand sich eine RFD-Sicherheitslücke (Reflected File Download, zu Deutsch etwa ‚gespiegelter Dateidownload‘), die ein Verbrecher hätte ausnutzen konnen, um die Opfer davon zu überzeugen, dass sie Dateien von der legitimen eBay-Domain herunterladen. In einigen Browsern, Internet Explorer 8 und 9 eingeschlossen, konnte eine Attacke durchgeführt werden, indem der Anwender lediglich die schädliche URL lud. In anderen Browsern musste der Nutzer dazu gebracht werden, eine Datei zu laden.

Der Sicherheitsforscher David Sopas entdeckte die Sicherheitslücke Mitte März und informierte eBay darüber. Das Unternehmen veröffentlichte Anfang letzter Woche ein entsprechendes Patch. Diese Art von Sicherheitslücke kommt nicht so häufig vor wie das bekannte Cross-Site-Scripting (XXS) oder Cross-Site Request-Forgery (XSRF), doch sie kann unter bestimmten Umständen ebenso gefährlich sein.

„Was ist, wenn die Kriminellen ihre Phishing-Kampagnen gegen eBay verbessern? Was, wenn schädliche Seiten sich mit eBay verlinken und dann Schaddateien laden und Anwender infizieren?“, schreibt Sopas in einer Mitteilung, in der die Schwachstelle beschrieben wird. „Als ich eBay benutzt und die Anfragen untersucht habe, entdeckte ich den Aufruf einer JSON-Datei, der mich dazu brachte, über eine Sicherheitsanfälligkeit nachzudenken, und zwar den Reflected File Download.“

Sopas, Experte bei dem portugiesischen Unternehmen WebSegura, entdeckte vor einigen Wochen ähnliche Schwachstellen in Services von Facebook und Instagram.

Für ein Opfer sieht der ganze Prozess so aus, als ob eine vertrauenswürdige eBay-Domain ihn zum Download einer Datei auffordert, was kein Misstrauen hervorruft. Ein Cyberkrimineller kann die vollständige Kontrolle über den Computer des Opfers erhalten und unterschiedliche Attacken durchführen“, sagte Sopas.

Sopas erklärte zudem, dass Attacken gegen solche Sicherheitslücken relativ einfach umzusetzen seien, es aber wesentlich schwieriger sei, den Bug selbst zu finden.

„Relativ einfach anzuwenden, aber schwer zu finden. RFD-Attacken sind noch sehr weit verbreitet, doch viele Unternehmen wissen nicht, dass sie wirklich gefährlich sind“, schreibt Sopas in einer Mail. „Das Opfer meint immer, dass die Datei von einer vertrauenswürdigen Website geladen wird.“

Quelle: Threatpost

eBay schließt RFD-Sicherheitslücke

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach