Točka osveščanja o varni rabi interneta in mobilnih naprav za otroke, najstnike, starše in učitelje

eBay še vedno pod pritiski zaradi lažnih izdelkov

7.10.2014

Vodilni varnostni raziskovalci so pozvali eBay, da nemudoma ukrepa glede zavajajočih prodaj izdelkov, saj je zaradi njih veliko uporabnikov v nevarnosti, da jih oškodujejo. BBC je za zdaj identificiral več kot 100 izdelkov, ki so bili zlorabljeni z namenom, da prelisičijo kupce in jih prepričajo v predajo osebnih podatkov.

eBay je za BBC povedal, da »še naprej pregledujejo vse funkcije in vsebine na spletnem mestu«. BBC je sicer ugotovil, da:

  • so hekerji vdrli v uporabniške račune, v katerih so objavili lažne izdelke. Veliko teh računov je imelo 100 % pozitivne uporabniške ocene, prodajali pa so na stotine izdelkov.
  • Eden izmed oškodovancev, ki so mu vdrli v račun, je za BBC povedal, da je bil njegov račun zaklenjen in ni mogel dostopati do njega, kasneje pa mu je eBay zaračunal okoli 35 funtov za kritje stroškov prodaje artiklov, ki jih sam sploh ni prodajal.  
  • Ko so kupci kliknili na lažni izdelek, jih je povezava odpeljala na zelo dobro izdelano ponarejeno spletno stran, ki je zgledala kot uradna in je od žrtev zahtevala prijavo in podatke o bančnem računu.
  • Med lažnimi izdelki so bili pametni telefoni, televizorji, pa tudi jazzuziji in oblačila.

Namen prevare je preusmeritev uporabnikov na lažno spletno stran, ki je bila oblikovana z namenom, da od uporabnikov pridobi osebne in bančne podatke.

Uporabniki so bili preusmerjeno na to lažno spletno stran (Vir: BBC)

James Lyne iz varnostnega podjetja Sophos je za BBC povedal, da o konkretnih motivih zločincev, ki se skrivajo v ozadju, še ne morejo govoriti, je pa jasno, da so zlonamerne preusmeritve še vedno na spletnem mestu eBay. Težava je na strani prisotna že od februarja, nekateri strokovnjaki pa trdijo, da traja zadeva že več kot eno leto.  

eBay je v svoji izjavi povedal, da mnogo uporabnikov uporablja Javascript ali Flashvsebine,, da bi naredili svoje oglase bolj privlačne, a so take vsebine tudi najbolj ranljive za vstavljanje škodljivih preusmeritev. eBay kljub temu ne bo prepovedal takih vsebin, bodo pa nadaljevali s pregledom funkcionalnosti in vsebin na strani z namenom, da zaščitijo uporabnike.  

'Congratulations!'

Za BBC je spregovoril tudi Russell Dearlove, tudi žrtev hekerskega napada. Opazil je nenavadno obnašanje njegovega eBayevega računa. Začasno je bil zaklenjen, izdelke pa je v njegovem imenu objavljala tretja oseba. Dobival je sporočila, kot je “Congratulations you’ve sold your iPad” (prevod: Čestitamo, prodal si svoj iPad). Vse lepo in prav, vendar Russel tega izdelka sploh ni prodajal. O nenavadnih dogodkih je obvestil eBay, ki mu na to ni odgovoril, poslal mu je le račun za stroške prodaje.

V odgovor na njegovo težavo je eBay povedal, da do prevzema nadzora tretje osebe nad uporabniškim računom prihaja pogosto, ker uporabnik razkrije svoje uporabniško ime ali geslo. Povedali so še, da je na žalost pogosta praksa spletnih kriminalcev, da izkoristijo poznana in zaupanja vredna imena podjetij, kot je eBay, da guljufajo kupce, jih preusmerijo na lažno spletno stran ali kako drugo škodljivo aplikacijo.  

Pritožbe uporabnikov

Odkar je BBC pretekli teden objavil prvi primer prevare, se je oglasilo več kot ducat uporabnikov, ki so izrazili zaskrbljenost nad varnostjo spletne strani in postopkom za obravnavo pritožb uporabnikov. Veliko uporabnikov je posredovalo tudi zapis pogovorov s podpornim osebjem strani eBay. V enem je zapisano, da so uporabniku svetovali, da »izbriše predpomnilnik in piškotke«, ko je poročal o škodljivi povezavi.

Joss Wright, varnostni strokovnjak iz inštituta Oxford Internet je glede omenjenih primerov dejal, da mora eBay resno preučiti in spremeniti svoje varnostne postopke, če želi ohraniti zaupanje uporabnikov. eBay se tako sooča s težavo, da ohrani spletno mesto enostavno za uporabo, hkrati pa zagotovi visoko raven varnosti, kar je po njegovem mnenju velik izziv. Vsekakor pa je potrebno precej več vložiti v zagotavljanje varnosti, kot to trenutno počnejo, še meni.

Kaj lahko storite vi?

Predvsem bodite pozorni, kam vas odpelje povezava izdelka in preverite, ali gre za varno povezavo v naslovni vrstici. Lažna povezava vas bo odpeljala na novo stran, kjer lahko že v imenu povezave opazite, da ne gre za domeno eBaya, stran pa bo od vas zahtevala vpis vaših bančnih podatkov. Eden izmed uporabnikov, ki je naletel na lažni izdelek, je na Youtube objavil video, kjer lahko vidite, kako izgleda nenavaden URL naslov, kamor vas odpelje lažna povezava. 

 

Če menite, da gre za lažen izdelek, ga prijavite na spletni strani eBaya. 

Vir in foto: BBC.

Fakulteta za družbene vede

Center za družboslovno informatiko logo

Arnes MISSSInsafe


Za vsebine spletne strani odgovarjajo izključno avtorji (izvajalci projekta Center za varnejši internet). Evropska unija ne odgovarja za kakršnokoli morebitno uporabo na njej navedenih informacij.

Uporaba piškotkov

© Fakulteta za družbene vede, Univerza v Ljubljani.
Vse pravice pridržane, razen za vsebine (videi, gradiva, besedila, slike itd.), ki so objavljene pod licencami Creative Commons.