IT-Security

WordPress & eBay Phishing: Attacken machen vor Internetriesen nicht halt

23. April 2019 von PSW GROUP Redaktion

ebay-phishing

0
(0)

Aktuell finden besonders perfide Phishing-Attacken statt, vor denen nicht einmal Internetriesen wie eBay oder WordPress sicher sind. Was Sie beachten sollten und woran Sie die wirklich authentisch wirkenden Phishing-E-Mails erkennen, verraten wir Ihnen heute.

Phishing und eBay Phishing – was ist das überhaupt?

Phishing ist im Allgemeinen eine Form des Betrugs, der über Webseiten, per E-Mail oder über Kurznachrichten durchgeführt wird. Empfänger erhalten täuschend echt wirkende E-Mails oder andere Nachrichten, die jedoch präparierte Links enthalten. Der Empfänger soll dazu verleitet werden, den in der Mail enthaltenen Link anzuklicken und auf der Zielseite persönliche und/ oder finanzielle Daten anzugeben. So sind Kontoplünderungen genauso denkbar, wie anderweitiges Schaden des Opfers.

In den meisten Fällen scheinen diese E-Mails von bekannten Absendern zu stammen: Von der Auktionsplattform eBay, dem Blogging-System WordPress, von PayPal, Yahoo oder dem Provider. Firmenlogos, Layouts und Schriftarten sehen echt aus, um beim Opfer keinen Verdacht auszulösen. Hat das Opfer seine Daten eingegeben, werden diese an den Betrüger weitergeleitet und entsprechend missbraucht.

 

eBay – Phishing-Alarm auf dem Online-Marktplatz

Momentan sind eBay-Nutzer in Gefahr: Mit Phishing-Mails versuchen Betrüger, Anmeldedaten für die Online-Plattform abzugreifen. Leider ist dieser Betrugsversuch für die Opfer nur schwer erkennbar: Nicht nur, dass die gefälschten Login-Seiten dem Original zum Verwechseln ähnlich sehen, sondern die Betrüger legten diese Site auch auf einem eBay-Server ab. eBay hat wohl schon gehandelt und die betroffenen Artikel gesperrt.

eBay bindet die Artikelbeschreibungen als iFrame ein. In der Folge haben die Artikel eine eigene URL; sie lassen sich als eigenständige HTML-Site aufrufen. Es ist ein Leichtes für die Betrüger, die Artikelbeschreibungen auf eine gefälschte Login-Seite zu verlegen und den Link dorthin mit einer gut gemachten Phishing-Mail zu versenden. Opfer haben eine Mail bekommen, aus der hervorgeht, Kunden hätten den Artikel bezahlt oder wollten eine Rückabwicklung.

Nutzer, die den Link klicken, landen nicht bei eBay, sondern auf einer gefälschten Anmeldeseite. Sie liegt jedoch unter der eBay-Domain “ebaydesc.com”. Zum Teil ist diese Site mit HTTPS und einem gültigen SSL-Zertifikat geladen. Jedoch sendet das auszufüllende Formular die Daten keinesfalls an eBay, sondern an einen Server. Hier brauchen die Betrüger die Daten nur noch entgegenzunehmen.

 

Woran Sie eBay Phishing erkennen

Es ist wirklich nicht mehr einfach, Phishing-Mails von anderen zu unterscheiden – oftmals werden sogar offizielle E-Mails von eBay für Phishing gehalten. Es gibt jedoch ein paar typische Merkmale zum Erkennen von Betrug:

Wie Sie sich vor eBay-Phishing schützen können

Schützen Sie Ihr eBay-Konto! So verhindern Sie Datendiebstahl durch Phishing-Mails und verhalten Sie sich im Verdachtsfall:

  • Domain prüfen: Bei eBay können Sie sich ausschließlich über die Domain “signin.ebay.de” anmelden. Klicken Sie den Link aus der E-Mail nicht an, sondern nutzen Sie diese Login-Site über die Lesezeichen Ihres Webbrowsers. Alle E-Mails, die eBay tatsächlich versendet hat, finden Sie hier im Nachrichten-Bereich.
  • Auffälliges melden: Haben Sie eine Phishing-Mail erhalten oder kommen Ihnen Artikel verdächtig vor, so melden Sie das direkt an eBay. Nutzen Sie dafür die E-Mail-Adresse .
  • Passwort ändern: Befürchten Sie, dass Ihre Daten bereits abgegriffen wurden, ändern Sie umgehend Ihr Passwort!

 

WordPress Phishing durch die Hintertür

In den vergangenen Monaten wurden zudem mehrere hunderte Seiten entdeckt, die auf die Content-Management-Systeme (CMS) WordPress und Joomla setzen. Auf den Sites wurden Ransomware, Redirectors und Backdoors entdeckt und sie leiten auf verschiedene Phishing-Seiten um. Zustandekommen kann dies durch Schwachstellen in den CMS, die durch Plugins, aber auch Erweiterungen und Themes ausgenutzt werden können.

Kompromittierte WordPress-Seiten basieren auf den Versionen 4.8.9 bis 5.1.1. Meist sind sie durch SSL-Zertifikate geschützt. Man geht davon aus, dass betroffene Seiten veraltete Plugins oder Themes nutzen oder aber serverseitig Software beinhalten, die die Kompromittierung möglich gemacht hat.

Wie Sie WordPress-Phishing erkennen

Auch WordPress-Phishing können Sie anhand verschiedener Kriterien erkennen:

  • URL prüfen: Fallen Ihnen in der URL der Site Zahlen oder andere Seltsamkeiten auf? Verzichten Sie im Zweifel auf die Eingabe persönlicher Daten!
  • Rechtschreibung: Zwar werden Phishing-Mails und -Sites immer perfekter, einen Duden scheinen die meisten Cyberkriminellen jedoch nicht zu besitzen. Vorwiegend finden sich viele Rechtschreibfehler in entsprechenden E-Mails oder auf den gefälschten Websites.
  • Betreff: Auch bei WordPress-Phishing-Mails ist der Betreff oft auffällig und fordert Sie zur Mithilfe auf, beispielsweise wird der Betreff “Wordpress database upgrade required!” häufig verwendet.
  • Empfänger-Adresse: Prüfen Sie auch die Empfänger-Adresse der E-Mail. Sind Sie beispielsweise mit einer Gmail-Adresse bei WordPress angemeldet, die E-Mail geht jedoch an Ihre Zweit-E-Mail-Adresse, dürfen Sie bereits skeptisch sein. Sind Sie zudem nicht der alleinige Empfänger, ist die Mail mehr als verdächtig und Sie sollten Sie erst gar nicht öffnen.

Wie Administratoren WordPress-Phishing verhindern

Als Administrator können Sie aktiv werden und sich vor Phishing schützen. So unterbinden Sie die Betrugsmasche auf Ihrem CMS:

  • Nicht benötigte Verzeichnisse: Bleiben Sie aktuell und löschen Sie nicht benötigte Verzeichnisse. So haben Angreifer geringere Möglichkeiten zum Verstecken.
  • Verzeichnis “/.well-known/” prüfen: Um Ransomware oder Phishing-Seiten zu verbreiten, nutzen Angreifer gerne ein verstecktes Verzeichnis auf HTTPS-Websites: Das Verzeichnis “/.well-known/”. Dieses Verzeichnis wurde von der IETF definiert und wird häufig dazu genutzt, den Domain-Besitz nachzuweisen. Nutzen Admins ACME zum Verwalten ihrer SSL-Zertifikate, lässt sich ein eindeutiges Token in den Verzeichnissen “/.well-known/pki-validation/” oder “/.well-known/acme-challenge/” hinterlegen. So wird der Zertifizierungsstelle angezeigt, dass sie diese Domäne kontrollieren. Zertifizierungsstellen versenden einen speziellen Code für HTML-Seiten, die in diesem Verzeichnis liegen. Dann sucht die Zertifizierungsstelle nach diesem Code, damit die Domain validiert werden kann. Angreifer jedoch nutzen die Verzeichnisse, um Phishing- und Malware-Sites vor Admins zu verstecken.
  • Server schützen: Websites lassen sich auf verschiedenen Ebenen angreifen – davon ist auch die Server-Ebene nicht ausgenommen. Eine Studie zeigt: 40 % aller Hacks geschehen durch unsichere Server.
  • Sicherheits-Updates: Spielen Sie aktuelle Sicherheits-Updates ein. Nicht nur von WordPress selbst, sondern auch von PHP, MySQL und Apache/Ngnix.
  • SFTP: Anstelle Dateien einfach per FTP auf den Server zu schieben, sollte man auf SFTP setzen. Das FTP-Passwort kann bei einer unverschlüsselten FTP-Verbindung abgehört werden.

Wie hat Ihnen dieser Artikel gefallen?

Average rating 0 / 5. Vote count: 0



0 Kommentar(e)

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu