Hoe veilig te blijven van het nieuwste beveiligingslek in eBay
EBay heeft een reputatie voor minder-dan-stellaire beveiligingspraktijken en het ziet ernaar uit dat het binnenkort niet beter zal worden. Een recentelijk blootgesteld beveiligingsprobleem brengt sommige gebruikers in gevaar en eBay heeft besloten slechts een gedeeltelijke oplossing te geven in plaats van een volledige.
Dit is wat u moet weten over de kwetsbaarheid, hoe het werkt en hoe u veilig kunt blijven.
Active Content, XSS en eBay Scams
De betreffende beveiligingskwetsbaarheid is gekoppeld aan “actieve inhoud,” welke verkopers in hun advertenties kunnen opnemen. Actieve content kan verschillende verschillende technologieën gebruiken om een artikelbeschrijving interessanter of nuttiger te maken - het kan een kleine Flash-app zijn, een JavaScript-menu, een webpoll of iets anders dat is ingesloten en interactief. In de advertentie hieronder is het een script met de naam “xsellgalleryscript” die probeert u ertoe te brengen andere items van de verkoper te kopen.
In de meeste gevallen is actieve inhoud volkomen veilig. Het is licht irritant, maar veilig. Echter, met cross-site scripting (XSS) Wat is Cross-Site Scripting (XSS), en waarom het een beveiligingsbedreiging is Wat is Cross-Site Scripting (XSS), en waarom is dit een beveiligingsbedreiging Cross-site scriptingkwetsbaarheden zijn de grootste website beveiligingsprobleem vandaag. Uit onderzoeken is gebleken dat ze schokkend veel voorkomen: 55% van de websites bevatte XSS-kwetsbaarheden in 2011, volgens White Hat Security's laatste rapport, uitgebracht in juni ... Lees Meer, een script dat op een andere site is ondergebracht kan op een eBay-pagina worden geladen, en dat script kan van alles zijn: het kan malware downloaden, je gebruikersreferenties phishingen of andere soorten chaos creëren. Natuurlijk, omdat deze aanval vrij algemeen is, gebruikt eBay filters die dit proberen te voorkomen.
Helaas heeft iemand een oplossing gevonden. Het gebruikt een techniek genaamd JSF * ck, een fascinerende manier om JavaScript-code te schrijven met slechts zes tekens: [] ()! +. Met twee haakjes, twee haakjes, een uitroepteken en een plusteken, kunt u elke JavaScript-code maken en uitvoeren.
Het is een leuke oefening, zoals de Brainf ** k programmeertaal 10 programmeertalen die je waarschijnlijk nooit hebt gehoord van 10 programmeertalen die je waarschijnlijk nog nooit hebt gehoord Er zijn een aantal zeer vreemde en bizarre programmeertalen die de logica op zijn kop hebben gezet en het nog steeds zijn gelukt trouw blijven aan de wetenschap van communicatie met een computer. Je gaat ... Lees meer. Maar het kan ook worden gebruikt om bij eBay-filters te komen.
Een cyberbeveiligingsbedrijf genaamd Check Point meldde eerst dit beveiligingslek en verklaarde dat het op de desktopsite of via de iOS- of Android-apps kon worden gebruikt om malware te downloaden of gebruikers door te sturen naar phishing-pagina's waar gebruikers onbedoeld gebruikersreferenties konden weggeven. Hier is een video van een aanval in actie:
Check Point demonstreerde en rapporteerde deze kwetsbaarheid aan eBay in december 2015, in de verwachting dat ze hun software zouden updaten om misbruik te voorkomen. Volgens BBC zei eBay tegen Check Point in januari dat ze niet van plan waren de kwetsbaarheid op te lossen, maar dat ze in februari een gedeeltelijke oplossing implementeerden. Waarom slechts een gedeeltelijke oplossing? “[I] t is belangrijk om te begrijpen dat kwaadaardige inhoud op onze markt buitengewoon ongewoon is,” eBay vertelde de BBC.
Ondanks het feit dat eBay volhoudt dat het risico van dit soort aanvallen extreem laag is, meldde beveiligingsbedrijf Netcraft dat het actief werd gebruikt om potentiële e-mailadressen van potentiële kopers te phishing Wat precies is phishing en welke technieken zijn oplichters? Wat is precies Phishing en welke technieken zijn oplichters? Ik ben zelf nooit fan van vissen geweest. Dit komt voornamelijk door een vroege expeditie waarbij mijn neef erin slaagde om twee vissen te vangen terwijl ik rits ving. Net als bij het echte vissen, zijn phishing-aanvallen niet ... Lees meer en moedig hen aan om de betaling te voltooien via een nep-escrow-service. En de zwendel werkte - Netcraft heeft schermafbeeldingen gedeeld van de petitie van een gestoorde gebruiker om hulp nadat eBay, de politie en zijn bank hem hadden verteld dat ze hem niet konden helpen.
Hoe u uzelf kunt beschermen tegen de XSS-kwetsbaarheid op eBay
Zolang eBay dit probleem niet volledig oplost, bestaat de kans dat je een vermelding tegenkomt die door een oplichter is aangetast en die je in gevaar brengt. Er zijn echter een paar dingen die u kunt doen om uw risico op overvallen te verminderen.
Het eerste dat u moet doen, is ervoor zorgen dat u een click-to-play-mogelijkheid gebruikt in uw browser. Chrome heeft deze mogelijkheid ingebouwd, Firefox heeft de populaire NoScript-extensie en Safari-gebruikers kunnen JS Blocker 5 installeren. Hiermee wordt voorkomen dat scripts worden geladen, tenzij je ze specifiek toestemming hebt gegeven. Je moet ze niet op eBay laden, maar als je dat doet, kun je ze met één klik inschakelen.
Als u plug-ins inschakelt, moet u extra waakzaam zijn om ervoor te zorgen dat u niet wordt misbruikt. Wanneer u op het punt staat om te klikken op a Koop het nu, Bod uitbrengen, of Bid link op eBay, zorg ervoor dat de URL in uw browser ebay.com is, en niet iets anders. Als je wordt gefopt, zal het domein iets anders zijn dan ebay.com.
Als je een mobiele eBay-app gebruikt, moet je de URL van elke gekoppelde pagina controleren, vooral als je wordt gevraagd naar eBay-aanmeldingsgegevens. En download geen andere apps! De eBay-app moedigt je niet aan om iets anders te downloaden. Zoals Brian Krebs, een van de beste beveiligingsbloggers die er zijn, zegt in zijn 3 basisregels voor online veiligheid, als je er niet naar op zoek was, installeer het dan niet!
Behalve dit zijn het standaard online veiligheidsgerelateerde dingen op de marktplaats. Communiceer alleen via de website en niet via e-mail, wat er ook gebeurt. Klik niet op links in e-mails van eBay, ga gewoon naar ebay.com voor het geval de e-mail afkomstig is van een oplichter. Controleer of koppelingen op de site veilig zijn 8 manieren om zeker te zijn dat een koppeling veilig is voordat u erop klikt 8 manieren om ervoor te zorgen dat een koppeling veilig is voordat u erop klikt Hyperlinks zoals we allemaal weten zijn de onderdelen waaruit het web bestaat. Maar net als de spinnen kan het digitale web de nietsvermoedende vangen. Zelfs de meer ervaren onder ons klikken op links die ... Lees meer voordat u ze gebruikt. Gebruik een sterk wachtwoord Hoe sterke wachtwoorden te genereren die bij uw persoonlijkheid passen Hoe u sterke wachtwoorden kunt genereren die passen bij uw persoonlijkheid Zonder een sterk wachtwoord zou u zich snel aan de ontvangende kant van een cybercriminaliteit bevinden. Een manier om een gedenkwaardig wachtwoord te maken, kan zijn om het aan uw persoonlijkheid aan te passen. Meer lezen en regelmatig wijzigen. Al het reguliere “hou jezelf veilig” tips die we de hele tijd delen, zijn hier ook van toepassing.
Laat je niet betrappen door deze eBay Cross-Site Scripting Scam
Jezelf beschermen tegen zwendel op eBay 10 Oplichting op eBay om je ervan bewust te zijn dat 10 Ophangzwaaiers zich ervan bewust zijn dat ze opgelicht zijn, vooral op eBay. Je investeert zoveel tijd in het verkopen van een product of het onderzoeken van het perfecte item, het voltooien van de transactie en dan ... niets. Weet je wanneer je wordt opgelicht? Meer lezen vereist enige waakzaamheid en een beetje proactieve preventie. Tussen het gebruik van een script-blokkerende browser of extensie, het kijken naar verdachte URL's en ervoor zorgen dat je oplet voor vreemde downloads of verzoeken, zou je helemaal in orde moeten zijn, zelfs als eBay de kwetsbaarheid niet repareert (wat ze waarschijnlijk niet zullen doen) tenminste voor even). Dus neem een paar snelle stappen, en ga terug naar het opslaan van tonnen geld door te winkelen op eBay 10 tips om te winkelen op eBay als een baas 10 tips om te winkelen op eBay als een baas Deze 10 eBay-tips helpen je bij het optimaliseren van je zoekopdrachten en biedingen bespaart u veel geld op de items die u zoekt. Lees verder !
Winkel je op eBay? Maakt u zich zorgen over hun reputatie van non-action op beveiligingslekken? Ben je minder geneigd om daar te winkelen omdat ze niet goed hebben gereageerd op de melding van deze specifieke bug? Deel je gedachten hieronder!
Image Credits: hacker door Photosani via Shutterstock
Ontdek meer over: eBay, oplichting.