CS50 Live, Episode 006
Indholdsfortegnelse:
Hackere bag en nyligt opdaget email-angrebskampagne udnytter en sårbarhed på en Yahoo-hjemmeside for at kapre Yahoo-brugerenes e-mail-konti og Brug dem til spam, ifølge sikkerhedsforskere fra antivirusleverandøren Bitdefender.
Angrebet begynder med brugere, der modtager spam-e-mail med deres navn i emnelinjen og en kort "Check out this page" besked efterfulgt af en smule forkortet link. Når man klikker på linket, tager brugerne til et websted masquerading som MSNBC-nyhedswebstedet, der indeholder en artikel om, hvordan man tjener penge, mens man arbejder hjemmefra, siger Bitdefender-forskerne onsdag i et blogindlæg.
Ved første øjekast synes dette ikke anderledes fra andre scam-websteder fra arbejde til hjemmet. I baggrunden udnytter et stykke JavaScript-kode imidlertid en sårbarhed på tværs af site-scripting (XSS) på Yahoo Developer Network (YDN) Blog-webstedet for at stjæle den besøgendes Yahoo-session cookie.
[Yderligere læsning: Sådan fjern malware fra din Windows-pc]Sådan fungerer det
Session cookies er unikke tekststrengre, der er gemt af websteder inde i browsere for at huske logget ind, indtil de logger ud. Webbrowsere bruger en sikkerhedsmekanisme kaldet politik med samme oprindelse for at forhindre websteder, der åbnes i forskellige faner, for at få adgang til hinandens ressourcer, f.eks. Sessionsk cookies.
Politikken med samme oprindelse håndhæves normalt pr. Domæne. For eksempel kan google.com ikke få adgang til session cookies til yahoo.com, selvom brugeren måske er logget ind på begge websteder på samme tid i samme browser. Men afhængigt af cookie-indstillingerne kan underdomæner få adgang til sessionsk cookies, der er fastsat af deres overordnede domæner.
Dette ser ud til at være tilfældet med Yahoo, hvor brugeren forbliver logget ind uanset hvilket Yahoo-underdomæne de besøger, herunder developer.yahoo. com.
Den falsk JavaScript-kode, der er hentet fra den falske MSNBC-hjemmeside, tvinger den besøgendes browser til at ringe developer.yahoo.com med en specifikt udformet webadresse, der udnytter XSS-sårbarheden og udfører yderligere JavaScript-kode i forbindelse med developer.yahoo. com-underdomæne.
Denne ekstra JavaScript-kode læser Yahoo-brugerens session cookie og uploader den til et websted kontrolleret af angriberne. Cookien bruges derefter til at få adgang til brugerens e-mail-konto og sende spam-emailen til alle deres kontakter. På den måde er dette en XSS-powered, selvudbredende e-mailorm.
Den udnyttede XSS-sårbarhed er faktisk placeret i en WordPress-komponent kaldet SWFUpload og blev patched i WordPress version 3.3.2, der blev udgivet i april 2012, den Bitdefender forskere sagde. Men YDN Blog-webstedet ser ud til at bruge en forældet version af WordPress.
Sådan undgår du problemer
Efter at have opdaget angrebet på onsdag, søgte Bitdefender-forskerne virksomhedens spamdatabase og fandt meget lignende meddelelser, der næsten var en måned, sagde Bogdan Botezatu, en senior e-trussel analytiker på Bitdefender, torsdag via email.
"Det er ekstremt vanskeligt at vurdere succesraten for et sådant angreb, fordi det ikke kan ses i sensornetværket" sagde. "Vi vurderer dog, at ca. en procent af den spam, vi har behandlet i den seneste måned, skyldes denne hændelse."
Bitdefender rapporterede sårbarheden til Yahoo på onsdag, men det viste sig stadig at kunne udnyttes på torsdag, sagde Botezatu. "Nogle af vores testkonti sender stadig denne specifikke type spam," sagde han.
I en redegørelse, der blev sendt senere på torsdag, sagde Yahoo, at det havde patched sårbarheden.
"Yahoo tager sikkerhed og vores brugerdata alvorligt, "en Yahoo repræsentant sagde via e-mail. "Vi har for nylig lært om en sårbarhed fra et eksternt sikkerhedsfirma og bekræfter, at vi har rettet sårbarheden. Vi opfordrer brugerne til at ændre deres adgangskoder til et stærkt kodeord, der kombinerer bogstaver, tal og symboler, og for at aktivere den anden loginudfordring i deres kontoindstillinger. "
Botezatu råde brugerne til at undgå at klikke på links modtaget via e-mail, især hvis de forkortes med bit.ly. At afgøre, om et link er ondsindet, før det åbnes, kan være svært ved angreb som disse, sagde han.
I dette tilfælde kom meddelelserne fra folk brugerne vidste - afsenderne var i deres kontaktlister - og det ondsindede websted var godt udformet til at ligne den respektable MSNBC portal, sagde han. "Det er en form for angreb, som vi forventer at være meget succesrige."
Botezatu råde brugerne til at undgå at klikke på links modtaget via e-mail, især hvis de forkortes med bit.ly. At afgøre, om et link er ondsindet, før det åbnes, kan være svært ved angreb som disse, sagde han.
I dette tilfælde kom meddelelserne fra folk brugerne vidste - senderne var i deres kontaktlister - og det ondsindede websted var godt -crafted til at ligne den respektable MSNBC portal, sagde han. "Det er en type angreb, som vi forventer at være meget succesrige."
Opdateret 31-01-2013 med Yahoo-kommentarer
Spammere udnytter interessen i OL
Symantec advarer om, at spammere forsøger at udnytte interessen i de olympiske lege.
Twitter OAuth-funktionen kan misbruges til at kapre konti, siger forsker
En funktion i Twitter API'en (Application Programming Interface) kan være misbrugt af angribere for at lancere troværdige socialtekniske angreb, der ville give dem en høj chance for at kapre brugerkonti, afslørede en mobil applikationsudvikler onsdag på Hack in the Box-sikkerhedskonference i Amsterdam.
Afgiftning er vigtigt, det være sig din krop eller dine digitale konti. Med vilje eller ej skaber vi ofte så mange konti på forskellige hjemmesider, lad vores legitimationsoplysninger være der og glemmer. Vi husker næppe de mindre vigtige konti, vi har lavet via internettet eller de vilkår, vi har aftalt at ved at klikke på `Jeg er enig`. Mens den moderne livsstil har gjort det næsten umuligt for os at afbryde forbindelsen fra internettet, er der visse måder, der giver os større kontrol over vor
Data Detox