Olyan kifinomult támadási módot dolgoztak ki a hackerek, hogy annak felfedezése még a legjobb biztonsági programok számára is feladja a leckét. Az egész egy webshopos vásárlással kezdődik.
Egy új, a böngészők sérülékenységét kihasználó rosszindulatú kampányt fedeztek fel nemrég a c/side kiberbiztonsági cég szakemberei. A jelentés szerint bűnözők a segítségével képesek arra használni a megbízható domaineket, például a Google.com-ot, hogy megkerüljék a hagyományos vírusvédelmi rendszereket. A szakemberek szerint a módszer olyan kifinomult, hogy a felhasználók és a hagyományos biztonsági szoftverek számára is nehéz észlelni.
A vizsgálat szerint a támadás a Google OAuth-hoz kapcsolódó hivatkozásból származik, így legitimnek tűnik a dolog, a háttérben azonban hozzáférést kapnak a bűnözők a böngésző munkamenetéhez.
Az OAuth nagyon leegyszerűsítve nem más, mint a Google jogosultságkezelési keretrendszere, ami lehetővé teszi egy harmadik féltől származó alkalmazás számára, hogy korlátozott hozzáférést szerezzen egy HTTP-szolgáltatáshoz.
A mostani támadás egy feltört, Magento-alapú e-kereskedelmi webhelybe ágyazott szkripttel kezdődik, amely egy látszólag ártalmatlan Google OAuth segítségével használt kijelentkezési linkre hivatkozik. Egy ilyenre:
https://accounts.google.com/o/oauth2/revoke.
A fertőzött URL azonban egy olyan paramétert tartalmaz, ami lehetővé teszi a támadók számára, hogy hozzáférést kapjanak a felhasználó böngészőjéhez.
A Google domainjének használata központi szerepet játszik a csalásban – mivel a szkript megbízható forrásból töltődik be, a legtöbb biztonsági rendszer kérdés nélkül átengedi.
Az említett szkript csak bizonyos feltételek mellett aktiválódik. Ilyen például, ha az URL tartalmazza a „checkout” szót – ilyenkor észrevétlenül megnyit egy kapcsolatot a rosszindulatú szerverrel. Ez azt jelenti, hogy a rosszindulatú viselkedést a felhasználói műveletekhez tudja igazítani. A bűnözők ennek köszönhetően távolról futtathatnak valamilyen kódot a böngészőben, hogy aztán jelszavakat vagy egyéb fontos adatokat lopjanak el.
A Techradar szerint a módszer annyira kifinomult, hogy még a legerősebb vírusvédelmi rendszerek sem feltétlenül érzékelik, hogy mivel van dolguk – tekintve, hogy a Google domainje megbízható.
Míg a szakértő felhasználók és a kiberbiztonsági szakemberek tartalomellenőrző proxykat vagy viselkedéselemző eszközöket használhatnak az ilyen rendellenességek azonosítására, az átlagfelhasználók sebezhetőek. A harmadik féltől származó szkriptek futtatásának korlátozása, a pénzügyi tranzakciókhoz használt böngésző-munkamenetek elkülönítése és segíthet csökkenteni annak kockázatát, hogy az ember áldozattá váljon.
Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.
A New York-i Közkönyvtár kiállítása bemutatja, hogyan vált egy nagyváros lapja nemzetközi tényezővé. A magazin egy évszázad alatt öt főszerkesztőt fogyasztott el, Adam Gopnik, a lap főmunkatársa néggyel is dolgozott.
Így reagáltak arra, hogy a főváros rendezi a Szivárvány Misszió Alapítvánnyal a Budapesti Büszkeség nevű rendezvényt.
