Een nieuwe phishingaanval combineert wildcard DNS records en cross-site scripting (XSS) lekken om via de websites van anderen inloggegevens te stelen. In dit geval is veilinggigant eBay het doelwit, maar ook andere websites kunnen het doelwit zijn. De aanvallers gebruiken een lekke versie van de iRedirector Subdomain Edition, die op verschillende websites wordt gebruikt. Dit op PHP en MySQL gebaseerde systeem laat webmasters wildcard DNS records voor hun domein instellen, om zo subdomeinen naar URL's te verwijzen. Bijvoorbeeld gebruiker.website.com kan men dan op www.website.com/members/~username laten uitkomen.

Door een XSS-lek in de iRedirector sites is het mogelijk om aan bepaalde pagina's framesets toe te voegen, die dan een vals eBay inlogvenster van een phishingpagina laden. Omdat de kwetsbare sites via wildcard DNS records toegankelijk zijn, gebruiken de aanvallers hostnames die op de echte eBay inlogpagina lijken.

Volgens internetbedrijf Netcraft is het de ideale aanval voor cybercriminelen. Door het gebruik van wildcards is het eenvoudig om willekeurige hostnamen te gebruiken en kan men die ook voor meerdere doelwitten toepassen. Daarnaast hoeft de website niet volledig gehackt te worden, aangezien de frauduleuze content op de sites is te plaatsen zonder toegang tot de webserver te hebben. Het laatste "pluspunt" is dat kwetsbare websites eenvoudig via Google zijn te vinden, wat automatisering van het zoekproces ook mogelijk maakt. De aanvallen werden voor het eerst op tien februari ontdekt en zijn nog altijd gaande.