Lek in eBay DLL maakt nepmails realistisch
Maandag verscheen al het bericht dat scammers een redirect script van eBay misbruiken om zo hun nepmails overtuigender te maken. Patrick Doorn ontving ook zo'n e-mail en besloot om op onderzoek uit te gaan. Dit waren zijn bevindingen: Vandaag ontving ik een e-mail van eBay waarin werd gevraagd mijn gegevens te controleren. De afzender was eBay en ook de login-link verwees naar de eBay website. Het was echter een Engelse taalfout waardoor ik besloot het e-mailtje eens nader te onderzoeken.
Ik besloot de link gewoon aan te klikken en fake gegevens in te vullen. De link verwees naar www.ebay.com maar ik werd na het aanklikken onmiddelijk vanaf eBay ge-redirect naar IP-adres 61.109.250.97 (een Koreaanse website). Een knap staaltje, want ik heb de laatste service- en securitypacks. Tijd voor een onderzoek naar de code:
In het originele e-mailbericht stond een verwijzing naar een DLL op de ebay site. Deze DLL krijgt via een script in de link opdracht te re-directen naar het koreaanse IP-adres. Na ermee gespeeld te hebben ontdekte ik dat deze DLL kan redirecten naar elke willekeurige site.
Hieronder een voorbeeld van een verwijzing naar eBay en een redirect naar www.security.nl (als je het redirectadres heel lang maakt, en een IP-adres gebruikt i.p.v. een domeinnaam, valt het de bezoeker nauwelijks op dat hij de eBay site verlaten heeft).
Voorbeeld:
Dit is de originele code uit het e-mailtje:
Al met al zag het geheel er erg overtuigend uit, en het zou mij dan ook niks verbazen als mensen hierin trappen. eBay gebruikers zijn dus gewaarschuwd.
heen wijst.
willekeurige URLs redirecten.
subdomein wat lijkt op het begin van de URL
[url=http://cgi4.ebay.com/ws/eBayISAPI.dll?MfcISAPICommand=RedirectToDomain&DomainUrl=http://cgi4.ebay.com.ws.eBayISAPI.dll.secrep.shacknet.nu]http://cgi4.ebay.com/ws/[/url]
Auw, pijnlijke situatie. Stomme fout van eBay, zomaar naar
willekeurige URLs redirecten.
andere websites gevonden, waaronder een aantal die na het
invoeren van een wachtwoord pas redirecten, dus nog
gevaarlijker en een paar webwinkels.
Onderin de statusbalk van IE is overigens precies te zien waar de link
heen wijst.
Op een 15-inch monitor is de statusbalk al te klein om het volledige pad
weer te geven.
vulnerable is tot DNS hijacking wat veel gevaarlijker is dan een foute dll.
EN dat hebben zo nog altijd *niet* gemaakt *sigh*
- ciri
- http://www.virtuax.be - "Security is an illusion."
Onderin de statusbalk van IE is overigens precies te zien
waar de link
heen wijst.
Op een 15-inch monitor is de statusbalk al te klein om het
volledige pad
weer te geven.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
