Si vous êtes un utilisateur assidu du site d’enchère eBay, attention où vous mettez les pieds. La télévision britannique BBC a découvert sur le site plus d’une centaine de fausses annonces qui cherchent à piéger les utilisateurs, par exemple pour leur soutirer des données personnelles. L’affaire remonte en fait à la semaine dernière, lorsque Paul Kerr, informaticien écossais et « eBay Power Seller », est tombé sur une fausse annonce d’iPhone 5s. En cliquant dessus, il est redirigé vers une fausse page aux couleurs d’eBay qui l’incite à rentrer les informations de sa carte bancaire. Il a même réalisé une vidéo de cette tentative d’escroquerie. On voit bien que l’URL de la fausse page n’est pas correcte.
Paul Kerr a immédiatement contacté le service technique d’eBay qui mettra plusieurs heures avant d’effacer l’annonce. Selon un chercheur de sécurité de l’University College de Londres, cette attaque s’appuie sur une faille dite de « Cross Site Scripting » (XSS), permettant au pirate d’injecter du faux contenu sur le site web. Ceci est possible notamment parce que eBay autorise l’insertion par les utilisateurs de contenus actifs Javascript ou Flash pour mettre en valeur leurs produits.
Depuis cette première découverte, BBC a découvert beaucoup d’autres fausses annonces et reçu le témoignage de plus d’une douzaine d’utilisateurs. Il s’avère que, pour poster leurs fausses annonces, les pirates identifient des comptes d’utilisateurs intensifs et bien notés, puis en prennent le contrôle. Ce type d’attaque existerait depuis au moins février dernier.
Interpellé par la BBC, eBay indique de faire un maximum pour lutter contre ce type d’arnaque, notamment en analysant les annonces postées sur son site. L’entreprise estime, néanmoins, qu’il s’agit là d’un incident isolé et non d’une attaque de grande ampleur.
Et vous, avez-vous été victime d’une telle arnaque ? Dans ce cas, contactez la rédaction.
Source :
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
