Leidet eBay unter Attacken von Botnetzwerken?
Unbestätigten Berichten zufolge hat das Internetauktionshaus eBay schon seit einigen Wochen mit massiven Attacken aus einem Botnetzwerk zu kämpfen. Dabei haben es die Täter vornehmlich auf die Accounts von ahnungslosen eBay-Kunden abgesehen.
Laut einem vom US-Magazin eWEEK geführten Interview mit Experten vom israelischen Sicherheitsunternehmen Aladdin Knowledge Systems dienten die Attacken dazu, an sensible Account-Informationen von eBay-Kunden zu gelangen.
Ausgangspunkt der Angriffe seien demnach rund 300 manipulierte Webseiten. Besonders komplex hierbei ist der Umstand, dass es sich bei all jenen Webseiten prinzipiell um legitime Angebote handelt, die aber von findigen Cyberkriminellen beispielsweise über SQL-Injection-Schwachstellen mit Malware versehen worden sind. Auf diesem Wege gelangt der ahnungslose Benutzer auf eine dritte Webseite, über welche das System mit einem Trojaner infiziert wird. Dieser wiederum macht das Zielsystem zum Teil eines Botnetzwerkes – und zum potentiellen Problem für eBay.
Wohl seit August 2007 hat es ein Botnetzwerk auf die Account-Daten von eBay-Nutzern weltweit abgesehen: Die Zombie-PCs nehmen über das eBay-API (Application Programming Interface) Kontakt zur eBay-Datenbank auf – über einen komplexen Vorgang ist es dabei möglich, mit einer Vielzahl von Kombinationen an sensible Zugangsdaten von eBay-Kunden zu gelangen.
Als besonders problematisch gestaltet sich dabei für die Verantwortlichen im Auktionshaus, dass ein jeder Zombie-PC nur eine geringe Zahl an Kombinationen ausprobiert, um nicht weiter aufzufallen. Dadurch fällt die Abwehr der Angriffe über die Identifikation der Ursprünge denkbar schwer.
Was die Täter mit den Daten letztlich anstellen, ist nur unzureichend geklärt. Das denkbarste Szenario sieht so aus: Zunächst wird die Identität in geringem Umfang umgeschrieben; die Bezahldaten bleiben aber gleich. Sodann kauft der neue Inhaber im großen Stil auf der Plattform ein – auf Rechnung des eigentlichen Besitzers des Accounts. Dies muss auf einen Schlag geschehen, sodass der Account innerhalb von wenigen Tagen besonders aggressiv bietet. Sobald der Zahlende etwas merken kann, wird der Account wieder abgestoßen und der geprellte Kunde kann sich über diverse Landesgrenzen hinweg juristisch um Schadensersatz und die eventuelle Rückbuchung der Beträge kümmern. Geprellt werden damit unter Umständen also nicht nur der Account-Inhaber, sondern auch die potentiellen Verkäufer.
eBay hat sich bisher in keiner Weise offiziell zu den Vorgängen geäußert.