Olyan kifinomult támadási módot dolgoztak ki a hackerek, hogy annak felfedezése még a legjobb biztonsági programok számára is feladja a leckét. Az egész egy webshopos vásárlással kezdődik.
Egy új, a böngészők sérülékenységét kihasználó rosszindulatú kampányt fedeztek fel nemrég a c/side kiberbiztonsági cég szakemberei. A jelentés szerint bűnözők a segítségével képesek arra használni a megbízható domaineket, például a Google.com-ot, hogy megkerüljék a hagyományos vírusvédelmi rendszereket. A szakemberek szerint a módszer olyan kifinomult, hogy a felhasználók és a hagyományos biztonsági szoftverek számára is nehéz észlelni.
A vizsgálat szerint a támadás a Google OAuth-hoz kapcsolódó hivatkozásból származik, így legitimnek tűnik a dolog, a háttérben azonban hozzáférést kapnak a bűnözők a böngésző munkamenetéhez.
Az OAuth nagyon leegyszerűsítve nem más, mint a Google jogosultságkezelési keretrendszere, ami lehetővé teszi egy harmadik féltől származó alkalmazás számára, hogy korlátozott hozzáférést szerezzen egy HTTP-szolgáltatáshoz.
A mostani támadás egy feltört, Magento-alapú e-kereskedelmi webhelybe ágyazott szkripttel kezdődik, amely egy látszólag ártalmatlan Google OAuth segítségével használt kijelentkezési linkre hivatkozik. Egy ilyenre:
https://accounts.google.com/o/oauth2/revoke.
A fertőzött URL azonban egy olyan paramétert tartalmaz, ami lehetővé teszi a támadók számára, hogy hozzáférést kapjanak a felhasználó böngészőjéhez.
A Google domainjének használata központi szerepet játszik a csalásban – mivel a szkript megbízható forrásból töltődik be, a legtöbb biztonsági rendszer kérdés nélkül átengedi.
Az említett szkript csak bizonyos feltételek mellett aktiválódik. Ilyen például, ha az URL tartalmazza a „checkout” szót – ilyenkor észrevétlenül megnyit egy kapcsolatot a rosszindulatú szerverrel. Ez azt jelenti, hogy a rosszindulatú viselkedést a felhasználói műveletekhez tudja igazítani. A bűnözők ennek köszönhetően távolról futtathatnak valamilyen kódot a böngészőben, hogy aztán jelszavakat vagy egyéb fontos adatokat lopjanak el.
A Techradar szerint a módszer annyira kifinomult, hogy még a legerősebb vírusvédelmi rendszerek sem feltétlenül érzékelik, hogy mivel van dolguk – tekintve, hogy a Google domainje megbízható.
Míg a szakértő felhasználók és a kiberbiztonsági szakemberek tartalomellenőrző proxykat vagy viselkedéselemző eszközöket használhatnak az ilyen rendellenességek azonosítására, az átlagfelhasználók sebezhetőek. A harmadik féltől származó szkriptek futtatásának korlátozása, a pénzügyi tranzakciókhoz használt böngésző-munkamenetek elkülönítése és segíthet csökkenteni annak kockázatát, hogy az ember áldozattá váljon.
Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.
Túlélte önmagát és még mindig nem halt meg egészen az internet hőskorának keskenysávú, telefonfüggő, analóg kapcsolatfelépítése. Hogyan is működött a modem, és mi volt az akusztikus csatoló?
Földes András riportja Munkácsról.
A hánykolódó gép sötétbe borult fedélzetén sikoltoztak az utasok.
Kis magyar abszurd – írja Hadházy Ákos.
Egyre jobban hasonlít a valóság az 1984-re.
„Meglátom majd, hogy kinek a hibája.”
