По словам экспертов из компании Netcraft, злоумышленники активно используют уязвимость в eBay, частично исправленную в начале текущего месяца, для проведения фишинговых атак и мошеннических операций с продажей авто.
В начале текущего месяца исследователями из Check Point были раскрыты подробности о серьезной уязвимости в онлайн-платформе eBay. С ее помощью можно обходить фильтры eBay, которые отвечают за проверку кода. Хакер может открыть якобы легитимную страницу и добавить вредоносный JavaScript-код в поле описания товара.
Эксперты показали, что мошенники могут обманом вынудить пользователя передать свою учетную информацию через фишинговую страницу или загрузить вредоносное программное обеспечение из магазина eBay. Фишинговые страницы связаны с доменом ebay.com, не вызывая каких-либо подозрений у пользователей.
Как утверждают представители eBay, результаты исследований Check Point были приняты во внимание, поэтому в платформу были внедрены соответствующие фильтры безопасности. Однако в компании утверждают, что вредоносный контент является крайне редким явлением для eBay. Сотрудниками eBay не было зафиксировано признаков вредоносной активности с использованием уязвимости.
Выяснилось, что меры, предпринятые eBay, не стали препятствием для злоумышленников в использовании данной ошибки. Экспертами компании Netcraft было зафиксировано несколько лотов, которые предназначались специально для использования уязвимости. Как утверждают исследователи, вредоносный код внедряется злоумышленниками во взломанные аккаунты.
Во время одной из атак мошенникам удалось скопировать контент настоящей страницы eBay, включая описание трейлера, который был продан тремя месяцами ранее. Фальшивое объявление о продаже трейлера было в итоге опубликовано во взломанном магазине. Пользователи, проявившие интерес к лоту, автоматически перенаправлялись на сайт, который внешне выглядел как eBay.
На поддельном сайте трейлер, который на самом деле был продан за 19295 фунтов, предлагали купить за 6,3 фунта. Жертва должна была оставить адрес своего электронного почтового ящика. Чтобы обсудить условия сделки, мошенники выходили с потенциальным покупателем на связь и вынуждали его перевести деньги на свой счет, при этом жертва была уверена, что оплачивает покупку трейлера.