Nachdem im Heise-Ticker in einer Live-Demoeindrucksvoll gezeigt wurde, wie einfach Cracker auf der eBay-Plattform zu User-Daten kommen, scheinen viele User die Problematik nicht wirklich verstanden zu haben. Dies ist um so erstaunlicher, als dass das Heise-Klientel (statistisch) mehr bei Usern höheren Bildungsrades zu suchen ist.
Zum Sachverhalt:
Am Mittwoch konnten User bei Heise.de eine Live-Demonstration vom Entwicklerteam Validome mitverfolgen, bei dem sich nach dem Einloggen zum Bietvorgang eines eBay Angebotes plötzlich die zuvor eingegebenen (eigenen) User-Daten auf dem Bildschirm zeigten.
Das Prinzip der Demonstration war verblüffend einfach: Wer eine Auktion bei eBay aufsetzt, kann in deren Präsentation JavaScript einbauen. Dieses Skript sorgt dafür, dass beim Klick auf "Bieten" nicht die eBay-Login-Seite erscheint, sondern den eBay-Anwender auf eine gefälschte Login-Seite umleitet.
Die Demo setzte voraus, dass der User den Internet Explorer benutzt und Active Scripting zugelassen (Standardeinstellung) hatte. Die Beschränkung auf diesen Browser war notwendig, da Validome das JavaScript kodiert hatte, um es vor den Augen von potenziellen Nachahmern zu verbergen. Ein Betrüger hätte sich diese Mühe natürlich nicht gemacht und eine universellere Lösung gewählt, die dann auch mit anderen Browsern wie Firefox, Opera & Co. funktionieren würde.
Nach Auskunft von Heise demonstrierte Validome der Heise-Redaktion eine weitere Lösung, bei der die Umleitung auch ohne JavaScript auskommt. Sie ist leichter zu durchschauen, dennoch dürfte das Gros der eBay-Teilnehmer auch darauf hereinfallen. Laut Validome ist es sogar möglich, Benutzer der eBay-Toolbar, die solche Umleitungen eigentlich erkennen soll, unbemerkt auf Phishing-Seiten umzulenken.
Zur Reaktion:
So beeindruckend die Live-Demo zum Thema eBay-Phishing auch war, noch erstaunlicher waren dann doch die spontanen Reaktionen der Heise-Leser im Heise-Forum. Immer wieder kam die Meinung durch, das Phishing -Problem auf der eBay-Plattform wäre ein Problem des Internet-Explorers. Die Tatsache, dass das Entwicklerteam von Validome den besagten JavaScript-String so kodiert hatten, dass er nur mit Internet-Explorer durchführbar war, wollten viele der Poster nicht verstehen. Unter der Vielzahl der Postings waren erschreckend wenig konstruktive Beiträge; viele Poster schienen diese Live-Demo mehr als Gaudi anzusehen. Erschreckend dumm und unverantwortlich war auch die kurzzeitige Veröffentlichung des endcodierten Scriptes im Forum, wobei andererseits eBay nun tatsächlich in Zugzwang kommt.
Am gleichen Abend der Live-Demo von Heise, wollte RTL diesen Versuch im Fernsehen live wiederholen. Zur Sendung eingeladen waren: andawari (validome ) Rechtsberater und Anwalt für Internetrecht -Tobias Strömer, andawari Geschäftsführer A. Leporda sowie der Sicherheitschef von eBay Deutschland Weyergraf. Im Interview verwies Weyergraf zur Frage der eBay - Sicherheit auf die eBay Toolbar , die so gut wie jede Manipulation sofort anzeigen und ausschließen würde. Obwohl andawari Geschäftsführer Leporda im Filmvorspann bewies und im Studio behauptete, man könne die eBay-Plattform auch mit eingeschalteter Toolbar umgehen, war eine Live-Demonstration dann doch nicht möglich. Ob die eBay Toolbar tatsächlich einen Angriff verhinderte oder ob man sich just zum Zeitpunkt der Live-Demo aus dem Hause RTL nicht auf die eBay-Plattform einwählen konnte, blieb für den Zuschauer offen.
