eBay chybou pomáha phisherom

eBay, najväčší aukčný server, patrí medzi najčastejšie terče phishingových útokov, ak nie je dokonca úplne najčastejším cieľom. Chyba objavená nedávno na stránkach eBay, hoci sama o sebe vôbec nie je kritická, phisherom výrazne uľahčuje ich útoky.

Patrik Horník, 5.3.2005

Pri phishingu útočník dostane používateľa Internetu na stránku, ktorá vyzerá presne ako nejaká dôveryhodná stránka (banka, obchodník s cennými papiermi, aukčný server), pričom ide o stránku podvrhnutú, bežiacu na inej adrese. Na tejto stránke potom vyzve užívateľa k vyplneniu niektorých citlivých údajov, ktoré následne zneužije (číslo kreditnej karty, prihlasovacie meno/heslo). Phiser najčastejšie užívateľa na takúto stranku dostane zaslanim emailu, ktorý sa tvári ako oficiálny email danej inštitúcie (predpokladajúc, že uzívateľ je zákazníkom danej inštitúcie) s výzvou na potvrdenie prihlasovacích údajov a podobne.

Keďže bezpečnostné pravidlá u bánk a podobných inštitúcií sú oveľa väčšie a ľudia sú pri ich používaní oveľa opatrnejší, najvhodnejšími cielami sú niektoré projekty z tohto pohľadu menšieho kalibru, ako napríklad online aukčný server. V súlade s týmto na eBay útočí množstvo phiserov so snahou získať čísla kreditných kariet jeho používateľov.

Aby emaily a adresy vyzerali čo najdôveryhodnejšie, phisery vo svojich emailoch používajú najmä tieto dve metódy a metódy z nich odvodené:

• Text nejakej linky emailu je vo forme URL a obsahuje správnu URL, akú by ste čakali od danej inštitúcie, linka samotná ale smeruje niekam inam.
  
  
• Použitie číselnej adresy alebo adresy veľmi blízkej originálnej adrese, len so zmenou zopár/jedného písmenka.

Nedávno oznámený Internet Explorer 7 (HTML email v Outlooku sa otvára v podstate pomocou IE) by mal mať práve zabudovanú podporu pre detekciu týchto najbežnejších spôsobov phiserov.

Užívatelia, ktorí o phishingu vedia, sa mu môžu aj úspešne vyhnúť pri dodržaní základných pravidiel - jednak vedieť, že seriózna inštitúcia by nikdy cez email nezaslala žiadosť o potvrdenie nejakých citlivých údajov niekde na stránke a teda detekovať neprimerané použitie tohto prostriedku ale následne aj zhodnotiť, či linka nesmeruje technicky na inú adresu, ako sľubuje (zhoda domény). Jednoduché pravidlá, o ktorých je v súčasnej dobe snaha informovať všetkých užívateľov z každej strany, phishing začína byť totiž výrazným fenoménom.

Na stránkach eBay bola nedávno objavená menšia chybička, ktorá sama o sebe zneužiteľná pravdepodobne nie je. Ide o to, že na eBay je dostupná stránka, ktorej ako parameter môžete dať akúkoľvek URL, na ktorú potom návštevníka presmeruje. Napríklad teda takto. Hoci linka smeruje naozaj na server ebay.com, užívateľ nakoniec skočí na www.hlava.sk. (Pokiaľ to už nie je funkčné, znamená to, že to už eBay opravil.) A toto je presne to, čo phishery potrebujú. Aj poučení užívatelia, ktorí dôkladne preveria URL (parametre môžu byť zakódované v hexa napr.), totiž zistia, že linka smeruje naozaj na ebay.com a bude teda autentická a dôveryhodná.

eBay o tejto chybe vie už niekoľko dní, momentálne situáciu rieši a postupne opravu nahodí na všetky svoje servery.


Najnovšie články:



Diskusia:

marian5 Od: marian5 | Pridané: 5.3.2005 13:40 Zdravím, má tu niekto skúsenosti s predajom cez eBay? Alebo neviete o nejakom článku na nete, kt. je návodom na pedaj cez eBay? Odpovedať Hodnotiť:

matt Od: matt | Pridané: 5.3.2005 19:33 No osobne skusenosti nemam ale take prenesene od ludi co boli v USA. Staci sa len zaregistrovat a vlastnit bankovu kartu - kreditnu or debetnu s moznostou nakupu na internete. Myslim ze taketo kavirtualne karty su dostat aj na slovensku - ja osobne taku mam - je to vlastne len cislo. Nakup sa deje pomocou bids - aukcie kde pridavas svoj bid - tvoju navrhovanu sumu. Ak je v pri skonceni akukcie najvyssia tak vyhravas. Alebo buy now - kupa hned - vacsinou je cena vyssia ako v aukcii. Takze treba len hladat a nakupit. Potom uz len staci vyplnit formular a stlacit tlacitko. A zachvilu mas tovar doma - teda aspon v USA. Odporucam kupovat od firiem (niektore sa specializuju iba na predaj cez ebay) - treba pozerat ich feedback (spokojnost zakaznikov).Ak chces kupit zo sekacu (jednotlivcov) treba platit len kartou nie sekmi alebo inak. Treba napisat mail a kontaktovat sa s danou osobou. S Odpovedať Hodnotiť:

ivan Od: ivan | Pridané: 8.3.2005 8:52 Ja mam skusenosti cca 5 rokov na ebay.de . Funguje celkom spolahlivo ,popis niektorych drazenych veci vsak nieje celkom pravdivy,takmer vsetci predavajuci v popise pridavaju aj klauzulu o tom , ze nepreberaju záruky za predavany tovar a predavaju ho ako pouzity, bez moznosti vymeny. Neviem o co mas záujem , ja kupujem hlavne veci okolo kompov a siete. Parkrat sa mi stalo , ze to naozaj bolo nefunkcne, ide vsak o mizive percento. Kazdy predavajuci ma svoje hodnotenie a podla toho sa da orientovat , ako je seriozny. Najlepsie vsak je , ked si prostrednictvom emailu vydiskutujes pred ukoncenim drazby vsetky otazky. Mnohokrat je pisane , ze predavajuci zasiela len do svojej domovskej krajiny. Je vsak vecou dohody a takmer nikdy nebol problem , aby ti to zaslali i na slovensko.Prostrednictvom nemeckeho DHL a nasej posty ti to pride do max. tyzdna , Male veci stoja 8,60 euro .Ak chces vediet viac , daj sem link na ICQ ,Skype , alebo e-mail Odpovedať Hodnotiť:

bonbon Od: bonbon | Pridané: 6.3.2005 14:21 Ja skusenosti mam(vsetky pozitivne) a nevidim problem ci si na Slovensku,alebo USA,len mozno pri vacsich veciach vacsie postovne.Vsetko je len na dohode medzi osobou co drazbu vyhrala a osobou ktora nieco drazi.Je jedno s ktorej casti sveta si.A navod tam je na Ebay a dokonca interaktivny,ako obchodovat.V USA robia dokonca aj kurzy na obchodovanie. Odpovedať Hodnotiť:

Pridať komentár