Phishing-Betrüger nutzen sichere Paypal-Server für Angriff - Update
Phishing-Betrüger versuchen über eine neue Masche, Paypal-Nutzern sensible Daten zu entlocken. Doch selbst aufmerksame Anwender könnte der Betrug nicht auffallen, weil die Phisher einen Weg gefunden haben, Server von Paypal in ihren Betrug einzubauen - cross-site scripting macht's möglich.
Von einer neuen Phishing-Methode berichten die Sicherheitsspezialisten von Netcraft. Demnach nutzen Phishin-Betrüger derzeit eine Sicherheitslücke im cross-site scripting von Paypal aus, um Anwender auf das Glatteis zu führen. Paypal-Nutzer werden laut Netcraft dabei über einen speziellen Link auf eine sichere Site von Paypal gelockt. Klickt ein misstrauischer Anwender dort auf das Sicherheitszertifikat, wird ihm ein valides 256-Bit-Zertifikat angezeigt, das für Paypal ausgestellt wurde, so Paul Mutton von Netcraft.
Dabei nutzt die spezielle URL eine Lücke im cross-site scripting der Paypal-Site aus. Dadurch wird es den Angreifern ermöglicht, eigenen Code in die Site von Paypal einzubinden. Im konkreten Fall erhielten Anwender die Mitteilung, dass ihr Paypal-Konto möglicherweise geknackt wurde und sie deshalb zum "Resolution Center" weitergeleitet werden. Diese Site wiederum hat nichts mehr mit Paypal zu tun und verlangt die Eingabe von Login- und weiteren persönlichen Daten, die dann an die Betrüger gesendet werden. Laut Mutton befindet sich der Server, der die auf diese Weise gesammelten Daten speichert, in Korea.
Zwar gäbe es auch legitime Nutzungsmöglichkeiten für cross-site scripting, um Daten zwischen Websites zu übertragen, grundsätzlich sei dies aber ein Sicherheitsrisiko, so Mike Prettejohn von Netcraft. Seiner Ansicht nach sollte cross-site scripting auf Websites am besten abgeschaltet werden.
Für Anwender ist es darüber hinaus äußerst schwer, eine derartige Phishing-Attacke überhaupt noch als solche erkennen zu können. Wenn schon die per Link aufgerufenen Sites über korrekte Sicherheitszertifikate verfügen, bleibt als letzter Strohhalm lediglich die Mail, in der die betrügerischen Links versendet werden. Diese können "Hinweise enthalten, dass die Mail nicht echt ist", so Prettejohn.
Um auf der sicheren Seite zu bleiben, sollten Anwender dem einfachen Rat folgen, niemals auf Grund einer Mail oder eines Hinweises auf einer Site persönliche Daten oder Logins preis zu geben. Versichern Sie sich sicherheitshalber mit einem Anruf beim vermeintlichen Urheber einer solchen Mail, ob die Daten tatsächlich eingegeben werden müssen. Und nutzen Sie hierzu nie die in einer PhishinGoogle-Mail eventuell eingetragenen Telefonnummern, sondern ziehen Sie das Telefonbuch zu Rate.
Update 20.06: Paypal hat mittlerweile reagiert und die Lücke gestopft.
