Die Hinweise verdichten sich, dass es einem rumänischem Hacker mit dem Pseudonym Vladuz gelungen ist sich Zugriff auf ebay interne Programme zu verschaffen. Ebay verwendet intern Programme um sämtliche Aktivitäten auf der Verkaufsplattform wie das Einstellen von Artikeln, Transaktionen, Bewertungen und Forenbeiträge zu überwachen.
Mit einem der Tools ("Ahab – The Account Takeover Tool") will ebay scheinbar das kapern von User Accounts durch Phishing erkennen um Gegenmaßnahmen zu ergreifen (wenn sie das doch nur mal machen würden).
In letzter Zeit häufen sich Fälle von "ebay Scamming" bei denen ebay Accounts gehijacked wurden um T-Shirts (BAPE Hoodys) anzubieten. Dabei wurde immer die Bezahlung per Paypal angeboten und hier als Empfänger eine fremde E-Mail Adresse angegeben. Klar, dass die Ware nie geliefert wurde und der Ebay User unter dessen Account verkauft wurde in Erklärungsnot gerät.
Ebay schiebt diese Account Diebstähle bisher den Usern in die Schuhe, die auf eine Phishing Mail hereingefallen sind. Das passt allerdings nicht mit einem gemeldeten Fall bei dem ein User eine solche Auktion unter seinem Namen bemerkt hatte, entfernte und das Passwort änderte. Wenige Zeit später war wieder eine Fake Auktion unter seinem Account angelegt. Jetzt könnte man denken, der User habe vielleicht einen Keylogger/Backdoor auf seinem Rechner, so dass das geänderte Passwort gleich wieder an die Phisher übermittelt wurde. Der User meldete aber, dass er a) kein DAU sei und b) daraufhin an seinem PC in der Firma noch einmal das Passwort geändert und die Auktion gelöscht habe und wenige Zeit später wieder eine neue Auktion online war.
Wäre ich der Phisher gewesen, dann hätte ich doch den User durch ändern des Passwort selbst ausgesperrt. Das dies nicht geschehen ist, lässt mich darauf schließen, dass es den Hackern ziemlich egal war, ob das Passwort geändert wurde, weil sie es schlichtweg nicht brauchten und einen Weg gefunden haben (über die internetn Tools?) Auktionen direkt einzustellen und Accountdaten (die Paypal Zieladresse) zu ändern!
Sucht man auf Google nach Vladuz und ebay, dann stolpert man (derzeit noch) unweigerlich über ein PHP Programm-Paket (ebayID.rar) auf einer chinesischen Webseite. Ich habe mir dieses mal angesehen und es handelt sich dabei um ein von Vladuz geschriebenes Set von Phishing-Seiten, die einem irrgeführten User (z.B. durch einen Werbelink oder eine E-mail) eine absolut echt aussehende ebay.com Loginseite vorgaukelt. Gibt man hier seine Logindaten ein, so wird im Hintergrund über die WAP-Seite von ebay ein Login versucht und bei Erfolg eine 2. Fake Seite angezeigt... usw. am Ende hat man nicht nur die Logindaten eines Users, sondern auch gleich noch die hinterlegte Kreditkarte mit allem was dazu gehört. Viel Spaß beim shopping...
Das beweist zumindest, dass Vladuz im Zusammenhang mit Ebay Betrug kein unbeschriebenes Blatt ist und vermutlich auch kein Wichtigtuer, der sich mit einer Hack-Meldung profilieren will, denn er hat Ahnung (wobei so eine Phishing Seite zu bauen wirklich kein Hexenwerk ist... wo wir wieder beim Thema "wieso habe ich zu wenig kriminelle Energie" wären).
Vladuz bietet übrigens im Readme zu seinem ebay Phishing Tool die Entwicklung jeglicher Phishing Tools innerhalb 30 Stunden an.
Während ich das hier tippe und weiter recherchiere finde ich doch tatsächlich noch brandaktuelle Hinweise, die die Befürchtung bestätigen, dass Vladuz Zugang zum ebay Backend und damit auf "sämtliche" ebay Accounts hat. Er scheint sich über einen VPN Zugang frei im ebay Netzwerk bewegen zu können. Zumindest suggeriert das ein VPN Login Screenshot. Ein Beweis für seine Behauptung ist das also noch nicht.
http://www.falle-internet.de/de/html/pr_vlad.htm
Ich bin mir sicher, dass an der Sache mehr dran ist, als Ebay zugeben mag und das hinter verschlossenen Türen gerade Security Audits bis spät in die Nacht laufen um herauszubekommen, ob an der Behauptung was dran sein könnte.
Inzwischen wird fleissig versucht unter den Tisch zu kehren, wie z.B. durch löschen von Threads von besorgten Usern im ebay Forum. Dank Google Cache lässt sich das ja nicht verheimlichen. Guckst Du
Wie egal ebay scheinbar die eigenen User sind, zeigt eindrucksvoll diese Seite.
Monatelang lief eine Ebay Motors Fake Seite um fehlgeleiteten Usern die Dollars aus der Tasche zu ziehen
http://www.ebaymotorssucks.com/chet9583.htm (die Fake URL fällt erst bei genauerem hinschauen auf (cmd.odapi.com).
Ich bin gespannt mit welchen Beweisen Vladuz als nächstes auftauchen wird, oder ob es sich doch nur um einen Schwindel handelt (hoffen wir es!).
Nachzulesen auf:
http://www.auctionguild.com/generic146.html
http://www.heise.de/newsticker/meldung/84602
http://www.falle-internet.de/de/html/pr_vlad.htm
http://www.ebaymotorssucks.com/rflello.htm
[Hier habe ich weitere Recherchen wieder entfernt um Vladuz` Identität zu wahren]
