Lek in eBay DLL maakt nepmails realistisch
Maandag verscheen al het bericht dat scammers een redirect script van eBay misbruiken om zo hun nepmails overtuigender te maken. Patrick Doorn ontving ook zo'n e-mail en besloot om op onderzoek uit te gaan. Dit waren zijn bevindingen: Vandaag ontving ik een e-mail van eBay waarin werd gevraagd mijn gegevens te controleren. De afzender was eBay en ook de login-link verwees naar de eBay website. Het was echter een Engelse taalfout waardoor ik besloot het e-mailtje eens nader te onderzoeken.
Ik besloot de link gewoon aan te klikken en fake gegevens in te vullen. De link verwees naar www.ebay.com maar ik werd na het aanklikken onmiddelijk vanaf eBay ge-redirect naar IP-adres 61.109.250.97 (een Koreaanse website). Een knap staaltje, want ik heb de laatste service- en securitypacks. Tijd voor een onderzoek naar de code:
In het originele e-mailbericht stond een verwijzing naar een DLL op de ebay site. Deze DLL krijgt via een script in de link opdracht te re-directen naar het koreaanse IP-adres. Na ermee gespeeld te hebben ontdekte ik dat deze DLL kan redirecten naar elke willekeurige site.
Hieronder een voorbeeld van een verwijzing naar eBay en een redirect naar www.security.nl (als je het redirectadres heel lang maakt, en een IP-adres gebruikt i.p.v. een domeinnaam, valt het de bezoeker nauwelijks op dat hij de eBay site verlaten heeft).
Voorbeeld:
Dit is de originele code uit het e-mailtje:
Al met al zag het geheel er erg overtuigend uit, en het zou mij dan ook niks verbazen als mensen hierin trappen. eBay gebruikers zijn dus gewaarschuwd.
heen wijst.
willekeurige URLs redirecten.
subdomein wat lijkt op het begin van de URL
[url=http://cgi4.ebay.com/ws/eBayISAPI.dll?MfcISAPICommand=RedirectToDomain&DomainUrl=http://cgi4.ebay.com.ws.eBayISAPI.dll.secrep.shacknet.nu]http://cgi4.ebay.com/ws/[/url]
Auw, pijnlijke situatie. Stomme fout van eBay, zomaar naar
willekeurige URLs redirecten.
andere websites gevonden, waaronder een aantal die na het
invoeren van een wachtwoord pas redirecten, dus nog
gevaarlijker en een paar webwinkels.
Onderin de statusbalk van IE is overigens precies te zien waar de link
heen wijst.
Op een 15-inch monitor is de statusbalk al te klein om het volledige pad
weer te geven.
vulnerable is tot DNS hijacking wat veel gevaarlijker is dan een foute dll.
EN dat hebben zo nog altijd *niet* gemaakt *sigh*
- ciri
- http://www.virtuax.be - "Security is an illusion."
Onderin de statusbalk van IE is overigens precies te zien
waar de link
heen wijst.
Op een 15-inch monitor is de statusbalk al te klein om het
volledige pad
weer te geven.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.