Podvodná webová stránka vypadá zcela identicky jako eBay. Aukční portál byl o bezpečnostním riziku informován ve středu, aukce s nebezpečnými odkazy však odstranil až po telefonátu BBC další den. Bezpečnostní experti proto byli překvapeni, jak dlouho eBay trvala odezva. „eBay je velká společnost, která by měla mít tým připravený nepřetržitě,“ uvedl Steven Murdoch z Výzkumné skupiny zabezpečení informací University College v Londýně, jenž byl schopen podvodné aukce ještě před jejich odstraněním analyzovat.
U podvodných aukcí byla použita technika známá jako cross-site scripting (XSS), v rámci níž útočník vloží do vytvořené aukce s určitým produktem nebezpečný javascriptový kód. Ten následně automaticky přesměruje postížené uživatele skrze sérii jiných webových stránek na web téměř nerozeznatelný od legitimnéch stránek eBay. Zde je po uživateli žádáno zadání přihlašovacího jména a hesla. „Webové stránky, na něž je uživatel přesměrován, jsou téměř jistě útočníky používány k zakrytí stop,“ uvedl Murdoch a dodal, že falešná webová stránka, na niž byli uživatelé nakonec přesměrováni, obsahovala kód, díky němuž by bylo možné podniknout i další útoky.
„I když obvykle je eBay na útočníky dobře připraven, zde ho nachytali,“ dodal Murdoch. „Cross-site scripting je zcela jistě mezi top 10 bezpečnostními riziky, na něž si vlastníci webových stránek musejí dávat pozor.“ Mluvčí eBay se snažil nebezpečnost útoku zlehčit. „Nebezpečná byla pouze jedna jediná aukce na eBay.co.uk, do níž útočník integroval odkaz, který uživatele přesměrovával pryč z eBay,“ řekl mluvčí. „Bezpečnost na našem aukčním portálu bereme velmi vážně a aukci jsme ihned odstranili.“ BBC se však podařilo najít další dvě podvodné aukce, které vytvořil ten samý uživatel.
Na bezpečnostní riziko na eBay jako první upozornil Paul Kerr, který pracuje v IT a na eBay prodává jako „PowerSeller“. Aukční server Kerr kontaktoval krátce poté, co klikl na odkaz v jedné z aukcí a byl přesměrován. Kerrovi se na podvodné stránce ihned něco nezdálo. Jak však dodal, řada neopatrných uživatelů mohla útočníkům jednoduše naletět. „Někdo na podvodném webu své údaje určitě zadal. Nemůžete vědět, kolik ze stovek tisíc uživatelů eBay na odkaz kliklo,“ řekl Kerr, který celý proces přesměrování z eBay na podvodný web nahrál na video a umístil na YouTube.
PŘEDPLATNÉ
ČLÁNKY DO MAILU