Apple-IDs und Passwörter gestohlen durch einen gehackten Electronic Arts (EA) Server, der Phishing-Seiten hostet

Ein Bericht von Netcraft besagt, dass Cyberkriminelle es geschafft haben, zwei Websites zu hacken, die auf einem Server von Electronic Arts (EA) gehostet werden. Und dann haben sie diese beiden Websites genutzt, um Apple-Nutzer zu phishing. Das Bild unten zeigt die Website, die die Phishing-Seite hostet.

.

EA oder Electronic Arts ist ein weltweit renommierter Spieleentwickler und -verleger von Video-, PC- und Mobilspielen. EA entwickelt und veröffentlicht Spiele unter mehreren Labels, darunter EA Sports-Titel, Madden NFL, FIFA, NHL, NCAA Football, NBA Live und SSX. Dies macht EA zu einer der vertrauenswürdigsten Marken weltweit, und jede Seite von EA, die nach Ihren Anmeldedaten fragt, wird den Benutzer dazu bringen, sie ohne weiteres Zögern anzugeben.

• *

Genau das haben die Hacker erreicht.

Netcraft berichtet, dass die Angreifer in einen Server eingedrungen sind, der zwei Websites auf der Domain ea.com hostet.

.

Der betreffende Server hostet einen Kalender, der auf WebCalendar 1.2.0 basiert. Dies ist eine alte Version der Software (2008), die voller Schwachstellen ist, die von den Hackern ausgenutzt worden sein könnten. Beispielsweise hätten die Angreifer CVE-2012-5385 ausnutzen können, das ausgenutzt werden kann, um Einstellungen zu ändern und möglicherweise sogar Code auszuführen.

• *

„Es ist wahrscheinlich, dass eine dieser Schwachstellen genutzt wurde, um den Server zu kompromittieren, da der Phishing-Inhalt im selben Verzeichnis wie die WebCalendar-Anwendung liegt“, bemerkte Paul Mutton von Netcraft in einem Blogbeitrag.

• *

Die Phishing-Seite ist so gestaltet, dass sie die Anmeldeseite von My Apple ID nachahmt. Zuerst werden die Opfer aufgefordert, ihre Apple-ID und ihr Passwort einzugeben. Dann werden sie gebeten, ihren Namen, die Kartennummer, das Ablaufdatum, die CVV, das Geburtsdatum und andere persönliche Informationen anzugeben.

• *

Sobald die Informationen den Cyberkriminellen übermittelt werden, werden die Opfer auf die echte Website von Apple umgeleitet, höchstwahrscheinlich um Verdacht zu vermeiden.

• *

„Der kompromittierte Server wird innerhalb des eigenen Netzwerks von EA gehostet. Kompromittierte, im Internet sichtbare Server werden oft als ‚Sprungbrett‘ verwendet, um interne Server anzugreifen und auf Daten zuzugreifen, die sonst für das Internet unsichtbar wären, obwohl es keine offensichtlichen Hinweise gibt, die darauf hindeuten, dass dies geschehen ist“, erklärte Mutton.

• *

„In diesem Fall hat der Hacker es geschafft, beliebige PHP-Skripte auf dem EA-Server zu installieren und auszuführen, sodass es wahrscheinlich ist, dass er zumindest auch den Inhalt des Kalenders und einen Teil des Quellcodes sowie andere Daten auf dem Server einsehen kann“, fügte er hinzu.

• *

„Die bloße Anwesenheit alter Software kann oft einen ausreichenden Anreiz für einen Hacker bieten, ein System gegenüber einem anderen zu wählen und mehr Zeit damit zu verbringen, nach zusätzlichen Schwachstellen zu suchen oder zu versuchen, tiefer in das interne Netzwerk vorzudringen.“

• *