Car-tech

Yahoo pisti reiän, joka mahdollisti sähköpostitilien kaappaamisen

Roulette WIN Every Time Strategy 2 Accelerated Martingale

Roulette WIN Every Time Strategy 2 Accelerated Martingale

Sisällysluettelo:

Anonim

Hiljattain havaitun sähköpostin hyökkäyskampanjan hakkerit käyttävät Yahoo-sivuston haavoittuvuutta kaapata Yahoo-käyttäjien sähköpostitilit ja käyttää niitä roskapostiksi. Bitdefender.

Hyökkäys alkaa, kun käyttäjät vastaanottavat roskapostiviestin, jonka nimi on otsikkorivillä, ja lyhyt "tarkista tämä sivu" -viesti, jota seuraa bit.ly lyhennetty linkki. Linkin napsauttaminen vie käyttäjät verkkosivustolle, joka naamioituu MSNBC: n uutissivustoksi, joka sisältää artikkelin siitä, kuinka tehdä rahaa kotona työskentelystä, Bitdefender-tutkijat sanoivat keskiviikkona blogikirjoituksessa.

Ensi silmäyksellä tämä ei näytä olevan erilainen muilta työläisten huijauskohteilta. Taustalla JavaScript-koodin osa kuitenkin hyödyntää Yahoo Developer Network (YDN) Blog-sivustoa sivustojen komentosarjatunnisteen (XSS) haavoittuvuuden varastamiseksi vierailijan Yahoo-istunnon evästeen varalta.

[Lue lisää: poista haittaohjelmat Windows-tietokoneelta]

Istunnon evästeet avaavat oven

Istunnon evästeet ovat selainten sisäisten verkkosivustojen tallennettua tekstiä, jotta ne voivat kirjautua kirjautuneisiin käyttäjiin, kunnes he kirjautuvat ulos. Web-selaimet käyttävät samaa alkuperää koskevaa käytäntöä estäen eri välilehdissä avattujen sivustojen pääsyn toistensa resursseihin, kuten istunnon evästeisiin. (Katso myös miten suojautua Supercookiesilta.))

Samaa alkuperää koskeva politiikka noudatetaan yleensä verkkotunnuksen mukaan. Esimerkiksi google.com ei voi käyttää sessio-evästeitä yahoo.com-sivustoon, vaikka käyttäjä olisi kirjautuneena molempiin sivustoja samaan aikaan samassa selaimessa, mutta evästeasetuksista riippuen aliverkkotunnukset voivat käyttää istunto-evästeitä, jotka on määritetty niiden emoalueilla.

Tämä näyttää tapaukselta Yahoo-palvelimelta, jossa käyttäjä on kirjautunut sisään riippumatta siitä, mitä Yahoo-aliverkkotunnus, johon he käyvät, mukaan lukien developer.yahoo.com.

Väärennetystä MSNBC-sivustosta ladatun rogue-JavaScript-koodin pakottava kävijän selain kutsuu developer.yahoo.com -sivustolle nimenomaan muotoillun URL-osoitteen, joka hyödyntää XSS-haavoittuvuutta ja suorittaa ylimääräisen JavaScript-koodin koodia kehittäjä.yahoo.com-aliverkkotunnuksen yhteydessä.

Tämä ylimääräinen JavaScript-koodi lukee Yahoo-käyttäjän istunnon evästeen ja lähettää sen verkkosivustolle, jota hyökkääjät hallitsevat. r: n sähköpostitili ja lähetä roskapostiviestit kaikille heidän yhteystiedoilleen. Tämä on XSS-powered, itsestään leviävä sähköposti-mato.

Käytetty XSS-haavoittuvuus on tosiasiallisesti sijoitettu WordPress-komponenttiin nimeltä SWFUpload ja se korjattiin huhtikuussa 2012 julkaistussa WordPress-versiossa 3.3.2. Bitdefender-tutkijat sanoivat. YDN Blog-sivusto näyttää kuitenkin käyttävän vanhentunutta WordPress-versiota.

Exploit raportoi, murskasi

Bitdefender-tutkijat löysivät keskiviikkona tehdyn hyökkäyksen tutkittuaan yrityksen roskapostitietokannan ja löysivät hyvin samanlaisia ​​viestejä, jotka olivat peräisin lähes kuukausi, sanoi e-uhka analyytikko Bogdan Botezatu torstaina sähköpostitse.

"On erittäin vaikeaa arvioida tällaisen hyökkäyksen onnistumisastetta, koska sitä ei voida nähdä anturiverkossa", hän sanoo. sanoi. "Arvostamme kuitenkin, että noin yksi prosentti viime kuussa käsitellyistä roskapostista johtuu tästä tapauksesta."

Bitdefender ilmoitti haavoittuvuudesta Yahooille keskiviikkona, mutta se näytti siltä, ​​että se olisi hyödynnettävissä torstaina, Botezatu sanoi. "Jotkut testitileistä lähettävät edelleen tätä tietyntyyppistä roskapostia", hän sanoi.

Yahoo ilmoitti, että se oli korjannut haavoittuvuuden torstaina.

"Yahoo ottaa turvallisuuden ja käyttäjien tietojen vakavasti ", Yahoo-edustaja sanoi sähköpostitse. "Olemme hiljattain oppineet tietoturvaongelmasta ulkoiselta turva-alan yritykseltä ja vahvistamme, että olemme korjattaneet haavoittuvuuden. Kehotamme asianomaisia ​​käyttäjiä vaihtamaan salasanansa vahvaan salasanaan, joka yhdistää kirjaimet, numerot ja symbolit sekä mahdollistaa toisen kirjautumishaasteen niiden tilien asetukset. "

Botezatu kehotti käyttäjiä vältemään napsauttamalla sähköpostiviestien kautta saatuja linkkejä, varsinkin jos ne lyhennetään bit.ly.

Tässä tapauksessa viestit tulivat ihmisiltä, ​​jotka käyttäjät tiesivät - lähettäjät olivat heidän yhteystietoluettelossasi - ja haitallinen sivusto oli hyvin. - rakennettu näyttämään kunnioittavalta MSNBC-portaalista, hän sanoi. "Se on eräänlainen hyökkäys, jonka odotamme olevan erittäin onnistunut."