Das seit einiger Zeit eBay gehörende Online-Bezahlsystem PayPal ist Opfer einer Phishing-Attacke geworden, wie Netcraft am Freitag meldete. Unbekannte Hacker haben dabei eine besonders raffinierte Methode angewendet, um Anwender zu einer präparierten Seite umzuleiten.

Ein in von den Betrügern verschickten Mails an PayPal-Mitglieder angefügter Link verwies auf eine ganz offizielle, https-gesicherte PayPal-Seite. Von dieser wurden Kunden dann auf die Phishing-Seite geführt, wo sie zur Eingabe von persönlichen Account-Daten und der eigenen Kreditkartennummer aufgefordert wurden.

Die Umleitung von der offiziellen PayPal-Seite auf den in Süd Korea beheimateten Hacker-Server bewerkstelligten die Cyberkriminellen mit einer Fehlermeldung, welche darauf hinwies, dass der Account aus Sicherheitsgründen gesperrt worden sei. Aufgrund eines unerlaubten Zugriffs sei der Account vorübergehend deaktiviert worden, lautete die in die offizielle Seite integrierte Meldung.

Um diese Fehlermeldung in die offizielle PayPal-Seite einzuschleusen nutzen die Hacker gemäss Netcraft eine Schwachstelle der PayPal-Site aus, wobei sie die sogenannte "Cross-Site-Scripting"-Technik anwendeten.

Eine neuerliche Eingabe und Bestätigung der Kreditkarten- und Accountdaten sei deshalb notwendig, so die nicht ganz unplausible Erklärung in der Fehlermeldung. Die Angreifer spekulierten offensichtlich damit, dass Anwender nach dem erfolgten Einstieg über die offizielle Seite bei der Weiterleitung an das angebliche Resolution Center nicht mehr auf die als Hack erkennbare URL- sowie Server-Adresse achteten.

Ob und wie viele Anwender von der Phishing-Attacke betroffen waren, konnte PayPal auf Anfrage von 'pressetext' nicht beantworten. Im Moment deutet vieles darauf hin, dass nur Anwender der US-basierten .com-Seite von der Attacke betroffen waren. Einer Sprecherin von PayPal USA zufolge hat das Unternehmen kurz nach Bekanntwerden der Schwachstelle entsprechend nachgebessert und versichert, dass ein Angriff nach demselben Muster damit nicht mehr möglich sei. Ausserdem sei man darum bemüht, mithilfe des betroffenen Internet Service Providers die Seite der Angreifer sperren und vom Netz nehmen zu lassen. (pte/hjm)