Richard Ledgett: The NSA responds to Edward Snowden's TED Talk
Sadržaj:
Hakeri iza nedavno otkrivene kampanje e-mail napada iskorištavaju ranjivost na Yahoo web stranici za otimanje računa e-pošte Yahoo korisnika i upotrijebite ih za neželjenu poštu, prema sigurnosnim istraživačima antivirusnog dobavljača Bitdefendera.
Napad počinje s korisnicima koji primaju neželjenu e-poštu s imenom u naslovu i kratkom "provjeriti ovu stranicu", nakon čega slijedi bitno skraćeno veza. Klikom na vezu vode korisnici na web stranicu koja se maskirala kao MSNBC news site koji sadrži članak o tome kako zaraditi novac dok rade od kuće, priopćili su istraživači Bitdefendera u srijedu na blogu.
Na prvi pogled, to se ne čini drugačijim od drugih mjesta za muljavanje od posla. Međutim, u pozadini, dio JavaScript koda iskorištava ranjivost (cross-site scripting) (XSS) na web mjestu Yahoo Developer Network (YDN) kako bi ukrao posjetiteljski Yahoo kolačić sesija.
[Daljnje čitanje: Kako uklonite zlonamjerni softver s računala sa sustavom Windows]Kako funkcionira
Sesije kolačići su jedinstveni nizovi teksta koji su pohranili web stranice unutar preglednika kako bi se sjećali prijavljenih korisnika dok se ne odjavujete. Web preglednici upotrebljavaju sigurnosni mehanizam koji se naziva pravilom istog podrijetla kako bi spriječio web stranice otvorene na različitim karticama da pristupaju resursima drugih korisnika, kao što su kolačići sesije.
Pravilo istog podrijetla obično se provodi po domeni. Na primjer, google.com ne može pristupiti sesije kolačića za yahoo.com iako se korisnik istovremeno može prijaviti na obje web stranice u istom pregledniku. Međutim, ovisno o postavkama kolačića, poddomene mogu pristupiti kolačićima sesije postavljenih od njihovih nadređenih domena.
Čini se da je to slučaj s Yahooom, gdje korisnik ostaje prijavljen bez obzira na to poddomenu Yahoo koju posjećuju, uključujući developer.yahoo. com.
Šifrirani JavaScript kôd učitan s lažne MSNBC web stranice prisiljava posjetiteljev preglednik da nazove developer.yahoo.com s posebno izrađenim URL-om koji iskorištava XSS ranjivost i izvršava dodatni JavaScript kôd u kontekstu developer.yahoo. com poddomena.
Ovaj dodatni JavaScript kôd čita kolačić sjednice korisnika Yahoo i prenosi ga na web stranicu kojom upravljaju napadači. Kolačić se zatim koristi za pristup korisničkom računu e-pošte i slanje neželjene e-pošte svim svojim kontaktima.
Ranjivost iskorištenog XSS-a zapravo se nalazi u WordPress komponenti pod nazivom SWFUpload i popravljena je u verziji WordPressa 3.3.2 koja je objavljena u travnju 2012., a Rekli su istraživači Bitdefendera. Međutim, čini se da stranica YDN Blog koristi zastarjelu verziju programa WordPress.
Kako izbjeći probleme
Nakon otkrivanja napada u srijedu, istraživači Bitdefender pretražili su bazu podataka o neželjenoj mreži tvrtke i pronašli vrlo slične poruke koje sežu gotovo, rekao je Bogdan Botezatu, viši analitičar za e-prijetnju u Bitdefenderu, u četvrtak putem e-pošte.
"Izuzetno je teško procijeniti uspješnost takvog napada jer se ne može vidjeti u mreži senzora", dodao je. rekao je. "Međutim, procjenjujemo da je otprilike jedan posto neželjenih poruka koje smo obrađivali u prošlom mjesecu uzrokovano ovim incidentom."
Bitdefender je u srijedu izvijestio o ranjivosti na Yahoo, ali je još uvijek izgledalo iskoristivo u četvrtak, rekao je Botezatu., "Neki od naših testnih računa i dalje šalju ovu specifičnu vrstu neželjene pošte", rekao je.
U priopćenju objavljenoj kasnije u četvrtak, Yahoo je rekao da je zakrpao ranjivost.
"Yahoo prima podatke o sigurnosti i našim korisnicima ozbiljno ", rekao je zastupnik Yahoo putem e-pošte. "Nedavno smo saznali za ranjivost od vanjske sigurnosne tvrtke i potvrdili smo da smo uklonili ranjivost. Potičemo korisnike da promijene svoje lozinke na snažnu lozinku koja kombinira slova, brojeve i simbole te omogućiti drugi izazov prijave njihove postavke računa. "
Botezatu je savjetovao korisnicima da izbjegavaju klikove na veze primljene putem e-pošte, pogotovo ako se skraćuju bitno. Određivanje je li veza zlonamjerna prije otvaranja može biti teško s takvim napadima, rekao je.
U ovom slučaju, poruke su došle od ljudi koje su korisnici znali - pošiljatelji su bili na popisu kontakata - i zlonamjerni site bio je dobro oblikovan da izgleda kao respektabilan MSNBC portal, rekao je. "To je vrsta napada koju očekujemo da će biti vrlo uspješni."
Botezatu je savjetovao korisnicima da izbjegavaju klikove na veze primljene putem e-pošte, pogotovo ako su skraćene. Određivanje je li veza zlonamjerna prije otvaranja može biti teško s takvim napadima, rekao je.
U ovom slučaju, poruke su došle od ljudi koje su korisnici znali - pošiljatelji su bili na popisu kontakata - a zlonamjerna web lokacija bila je dobra - stvoren da izgleda kao respektabilan MSNBC portal, rekao je. "To je vrsta napada koju očekujemo da će biti vrlo uspješni."
Ažurirano 1/31/2013 s komentarima tvrtke Yahoo
Tablete Clover Trail postavljene na mjestu na radnom mjestu
Neki od tabletnih proizvođača na lansiranom događaju za Intelov procesor "Clover Trail" naglasili su poslovne pametne njihovi proizvodi kao način da ih razlikuju od Appleovog tržišnog ipad-a.
Ranjivost Instagrama na iPhone omogućava preuzimanje računa
Istraživač sigurnosti objavio je u petak još jedan napad na Facebookovu uslugu dijeljenja fotografija na Instagramu koji bi mogao omogućiti hakeru preuzeo kontrolu nad žrtvinim računom.
Kako razgovarati s prijateljima o web mjestu točno na web mjestu
