התקפת דואר אלקטרוני מנצלת את הפגיעות באתר Yahoo כדי לחטוף חשבונות

האקרים שמאחורי קמפיין התקפות דוא"ל שזוהו לאחרונה מנצלים פגיעות באתר Yahoo כדי לחטוף את חשבונות הדוא"ל של משתמשי יאהו להשתמש בהם עבור דואר זבל, על פי חוקרי האבטחה של ספק האנטי וירוס Bitdefender.

ההתקפה מתחילה עם משתמשים המקבלים דואר זבל עם השם שלהם בשורת הנושא ואת קצר "לבדוק את הדף הזה" הודעה ואחריו bit.ly מקוצר קישור. לחיצה על הקישור לוקחת את המשתמשים לאתר אינטרנט שמתחפש לאתר החדשות של MSNBC, המכיל מאמר על איך להרוויח כסף בזמן עבודה מהבית, כך אמרו אתמול (יום ב ') חוקרים מבית Bitdefender בפוסט בבלוג. מאתרי עבודה אחרים מהבית. עם זאת, ברקע, קטע קוד JavaScript מנצל פגיעות של Scripting בין אתרים (XSS) באתר האינטרנט של Yahoo Developer Network (YDN) כדי לגנוב את קובץ ה- cookie של יאהו. להסיר תוכנות זדוניות מהמחשב Windows שלך]

איך זה עובד

קובצי cookie של הפעלה הם מחרוזות ייחודיות של טקסט המאוחסנות על ידי אתרים בתוך דפדפנים, כדי לזכור משתמשים מחוברים עד שהם מתנתקים. דפדפני אינטרנט משתמשים במנגנון אבטחה שנקרא מדיניות מקור זהה כדי למנוע מאתר שנפתח בכרטיסיות שונות לגשת למשאבים של אחרים, כגון קובצי cookie של הפעלה.

מדיניות אותו מקור נאכפת בדרך כלל בכל דומיין. לדוגמה, google.com אינו יכול לגשת לקובצי ה- cookie של ההפעלה עבור yahoo.com למרות שהמשתמש עשוי להיכנס לשני האתרים בו-זמנית באותו דפדפן. עם זאת, בהתאם להגדרות קובצי ה- cookie, תת-הדומיינים יכולים לגשת לקובצי cookie של פעילויות באתר שהוגדרו על-ידי דומיינים של ההורה שלהם.

נראה שזה המקרה עם Yahoo, שבו המשתמש נשאר מחובר ללא תלות בסוג תת-הדומיין של Yahoo שבו הם מבקרים, כולל developer.yahoo. com

קוד ה- JavaScript הנבלע מהאתר המזויף של MSNBC מאלץ את דפדפן המבקר להתקשר אל developer.yahoo.com עם כתובת אתר בעלת מבנה מיוחד המנצלת את הפגיעות של XSS ומבצעת קוד JavaScript נוסף בהקשר של developer.yahoo. com.>

קוד JavaScript נוסף קורא את קובץ ה- cookie של המשתמש של יאהו ומעלה אותו לאתר הנשלט על ידי התוקפים. קובץ ה- cookie משמש לאחר מכן כדי לגשת לחשבון הדוא"ל של המשתמש ולשלוח את דואר הזבל לכל אנשי הקשר שלהם. במובן מסוים, זוהי תולעת דואר אלקטרוני המופעלת באמצעות XSS ומופצת באופן עצמאי.

הפגיעות המנוצלת של XSS נמצאת למעשה במרכיב WordPress הנקרא SWFUpload ו תוקנה בגרסת וורדפרס 3.3.2 שפורסמה באפריל 2012, חוקרי Bitdefender. עם זאת, נראה כי אתר הבלוג של YDN משתמש בגירסה מיושנת של WordPress.

כיצד להימנע מצרות

לאחר שגילו את ההתקפה ביום רביעי, חוקרי Bitdefender חיפשו במסד הנתונים של הספאם של החברה ומצאו מסרים דומים מאוד שראשיתם כמעט, אמר בוגדאן בוטאטו, בוגדן בוטזאטו, מבכירי איום אלקטרוני בביטדפנדר, ביום חמישי שעבר בדואר אלקטרוני. "קשה מאוד להעריך את שיעור ההצלחה של התקפה כזו, משום שאי אפשר לראות אותה ברשת החיישנים". אמר. "עם זאת, אנו מעריכים כי בערך אחוז אחד מהספאם שעבדנו בחודש האחרון נגרם כתוצאה מהאירוע הזה".

Bitdefender דיווח על הפגיעות ליאהו ביום רביעי, אך עדיין נראה כי ניתן לנצל אותה ביום חמישי, אמר בוטזטו. "חלק מחשבונות הבדיקה שלנו עדיין שולחים את הספאם הספציפי הזה", הוא אמר. בהצהרה שנשלחה מאוחר יותר ביום חמישי, יאהו אמרה כי היא תיקנה את הפגיעות.

"Yahoo לוקחת את האבטחה ואת נתוני המשתמשים שלנו ברצינות ", אמר נציג יאהו בדוא"ל. "למדנו לאחרונה על פגיעות מחברת אבטחה חיצונית וידוא שתיקנו את הפגיעות, ואנו מעודדים משתמשים מודאגים לשנות את הסיסמאות שלהם לסיסמה חזקה המשלבת אותיות, מספרים וסמלים, וכדי לאפשר את אתגר הכניסה השני ב הגדרות החשבון שלהם. "

Botezatu מומלץ למשתמשים להימנע מלחיצה על קישורים שהתקבלו בדוא"ל, במיוחד אם הם מקוצרים עם bit.ly. אם הקישור הוא זדוני לפני פתיחתו יכול להיות קשה עם התקפות כאלה, הוא אמר.

במקרה זה, ההודעות הגיעו מאנשים שהמשתמשים ידעו - השולחים היו ברשימות אנשי הקשר שלהם - ואת האתר הזדוני היה מעוצב היטב כמו פורטל MSNBC מכובד, הוא אמר. "זה סוג של התקפה שאנחנו מצפים להיות מאוד מוצלח."

Botezatu מומלץ למשתמשים להימנע לחיצה על קישורים שהתקבלו באמצעות דוא"ל, במיוחד אם הם מקוצרים עם bit.ly. הוא קבע שאם הקישור הוא זדוני לפני שהוא פותח את זה יכול להיות קשה עם התקפות כאלה, הוא אמר. "במקרה זה, ההודעות הגיעו מאנשים שהמשתמשים ידעו - השולחים היו ברשימות אנשי הקשר שלהם - והאתר הזדוני היה טוב, שייראה כמו הפורטל המכובד של MSNBC, אמר. "זה סוג של התקפה שאנחנו מצפים להיות מאוד מוצלח."

עודכן 1/31/2013 עם הערות יאהו