Angreifer haben das Shop System XT:Commerce im Auge und versuchen Daten von Dritten abzugreifen.
Für die Shop-Betreiber kann es immer sehr gefährlich sein veraltete Shop-Installationen zu haben. So bekam ich heute in meine beruflich genutzte E-Mail eine angebliche Amazon Mitteilung, dass ich doch Bitte eine Bestellung überprüfen solle. Meine Bestellung wären wohl nicht dem typischen Bestellverhalten entsprechend. Daher droht eine Kontosperrung!
Tatsächlich wäre es nicht ungewöhnlich. Amazon hat einen solchen Mechanismus. Daher versuchen es Betrüger natürlich zusehends gleich mehrere Dinge auszunutzen, um an Zugänge zu gelangen.
Im Bild kann man sich diese E-Mail angucken. Gut geschrieben ist sie schon, aber kein Indiz für Seriosität. Die Bilder sind aus Sicherheitsgründen nicht heruntergeladen wurden.
Hört sich erst einmal sehr schlimm an und man sollte wohl jetzt in Panik ausbrechen und sofort den Link klicken, der praktischerweise mit angeben ist. Aber nein! Wer solch eine E-Mail bekommen hat, tut gut daran nicht gleich wild herum zu klicken – egal von welchen Anbieter sie nun kommen mag. Neben großen Einkaufsseiten sind auch Banken oftmals beliebt um den Anschein zu wahren. Sollte jemand wirklich auf dieser E-Mail-Adresse, bei genau diesem Anbieter ein Konto haben, sollte man in einem solchen Fall die Website direkt im Browser aufrufen. Heißt zwar etwas mehr Arbeit aber es ist immer sicherer, als irgendwelchen ungewöhnlichen Links zu folgen.
Ich bin bei solchen E-Mails immer misstrauisch, jedoch war es auch von Vorteil, dass ich die E-Mail gleich als Text sah. Daher waren Bilder wie auch Links mit ihrer kompletten URL dargestellt. Daher sah ich das zwei Fremdshops die Bilder und ein Script zur Verfügung stellten. Diese Shopbetreiber machen dies natürlich nicht bewusst und wissen oftmals gar nicht das ihre Systeme kompromittiert wurden. Ein weiteres Indiz dafür war auch schnell gefunden. Beide Websites nutzen das XT:Commerce Shopsystem um ihre Artikel bereitzustellen. Problem scheint zu sein, dass diese veraltet sind und wichtige Sicherheitsupdates nicht eingespielt wurden. Daher war es wohl den oder die Angreifer möglich die beiden Systeme für ihre Machenschaften zu nutzen.
Die betroffenen Betreiber habe ich einmal angeschrieben. Jedoch ist fraglich ob sie reagieren und die Probleme erkennen und beheben. Schwerwiegend dürfte dabei auch sein, dass die meisten Betreiber von der Technik dahinter kaum Ahnung haben und es eine Kette an Informationen bedarf, bis alles bei der entsprechenden Agentur gelandet ist, welche die Systeme einstmals aufgesetzt haben. Es kann aber auch passieren, dass Mitarbeiter solche Hinweise als Unwichtig oder Müll gleich löschen. Das wäre dann fatal, wenn User geschädigt werden. Dann kann es wohl im schlimmsten fall auch zu rechtlichen Problemen kommen.
Also Vorsicht bei E-Mails die von diversen Anbietern eintrudeln können. Es werden sicherlich nicht nur Amazon-Mails so aufgebaut sein. Und wer Content-Managment-Systeme, darunter auch solche Shopsysteme nutzt, sollte darüber so viel Bescheid wissen, das wichtige Updates zweitnah eingespielt werden.
Update: 27. Februar 2015 11:02
Eine Reaktion habe ich nicht mehr auf meine E-Mail erhalten, was nicht wirklich verwunderlich war aber zumindest gab es einen Teilerfolg. Die Seite mit dem Weiterleitungsscript hat entsprechende Datei entfernt. Das war zumindest der wichtigste Punkt in der Liste. Jedoch kann nur gehofft werden, dass sie auch die Sicherheitslücke geschlossen haben, denn ansonsten sind diese Sachen wohl bald wieder aufgespielt. Die andere Seite hostet jedoch noch munter ein paar Bilddateien von Amazon.
Nebenbei habe ich Amazon auch noch Informationen zu dem Fall zukommen lassen. Leider habe ich erst jetzt eine entsprechende Hilfeseite bei Amazon gefunden. Wer eine solche E-Mail bekommt, kann bei einigen Anbietern zumindest auf ein offenes Ohr stoßen. Diese sind oftmals durchaus dran interessiert, wer mit ihrem Namen Schindluder treibt. Die Hilfeseite von Amazon zum Thema Phishing gibt es hier: http://www.amazon.de/gp/help/customer/display.html?nodeId=201504590
Es hat auch den Vorteil, dass große Anbieter sich selber um die Sache kümmern und wahrscheinlich auch schneller wirken können.