Artykuły dotyczące tematu: Yahoo Mail

dodany: 01.02.2013 | tagi: ,

Konta Yahoo uprowadzone przez atak XSS-Type

0

Na popularnego dostawcę poczty internetowej Yahoo został wymierzony nowy atak oparty na e-mailach, który przejmuje kontrolę nad kontami ofiar. Bitdefender Labs odkrył trwającą kampanię i po raz kolejny ostrzega użytkowników o niebezpieczeństwach kryjących się w spamerskich linkach.

Uprowadzenie konta zaczyna się wiadomością spam z niepozornym, krótkim linkiem do pozornie nieszkodliwej sesji wiarygodnego kanału informacyjnego MSNBC (hxxp ://www.msnbc.msn.com-im9.net [strona została już usunięta]).

Bliższe spojrzenie na link pokazuje, że domena nie jest częścią MSNBC, ale podstępną domeną składającą się z subdomen na hxxp :/ / Com-im9.net.

Domena została zarejestrowana na Ukrainie 27 stycznia i jest hostowana w centrum danych w Nikozji na Cyprze. Strona ta zawiera kawałek złośliwego kodu JavaScript, ukrytego jako popularna biblioteka Lightbox, która przeprowadza atak w drugim etapie.

yahoo mail

 

Zanim przejdziemy dalej, zobaczymy, czym jest kradzież plików cookie:
Bezpieczeństwo w Internecie jest oparte na czymś, co my nazywamy polityką tego samego pochodzenia- to złożony mechanizm, który nie pozwoli stronie A uzyskać dostępu do zasobów (takich jak pliki cookie) strony B. Cookies to małe fragmenty tekstu utworzone, gdy użytkownik loguje się do systemu, a są one stosowane do (między innymi) zapamiętywania, że posiadacz konta przeszedł już uwierzytelnianie. W przeciwnym razie użytkownik musiałby logować się za każdym razem gdy chciałby przeczytać kolejnego e-maila lub przejść na inną stronę. Tak więc, w tym kontekście, jest oczywiste, że część kodu działającego na stronie A nie może ukraść ci plików cookie utworzonych przez stronę B. Jednakże subdomena strony B może uzyskać dostęp do zasobów strony B, i to jest to, co zrobił atakujący.

Drugi etap ataku jest skupiony na blogu Yahoo Developers (developers.yahoo.com), który łatwo wykorzystuje wadliwą wersję WordPressa. Przechodząc do meritum, hacker wykorzystuje SWF Uploader  platformy WordPress ze strony developer.yahoo.com.  Ma on wadę zabezpieczeń zwaną luką CVE-2012-3414 (nawiasem mówiąc, luka została naprawiona od wersji WordPress 3.3.2).

Yahoo mail -Etap 2

Ponieważ znajduje się on na subdomenie strony yahoo.com, jedyne co muszą zrobić napastnicy, to wywołać błąd i przekazać polecenie, które kradnie plik cookie, a następnie wysłać je „do domu”.
W tym momencie cyberprzestępcy mają  pełny dostęp do listy kontaktów ofiary, dopóki bieżąca sesja nie wygaśnie lub użytkownik się nie wyloguje.

Dlaczego twoje konto mailowe jest ważne dla oszustów?
Jeśli zastanawiasz się, dlaczego oszuści  interesują się twoimi kontami e-mail i zbierają adresy e-mail twoich znajomych, odpowiedź jest prosta – aby wysłać więcej spamu.

Oszuści nie mogą zarejestrować wiele  kont automatycznie u dostawców poczty internetowej, takich jak Yahoo, Google, Hotmail, itp., ponieważ rejestrując się należy wypełnić kod captcha. To wymaga czasu i prawdziwych ludzi, którzy wpiszą znaki. To z kolei kosztuje. Kradzież aktywnych kont jest opłacalnym sposobem dla oszusta do automatyzacji ataków i za jednym zamachem pozwala mu zdobyć kolejne adresy i zyskać więcej ofiar.
Co należy więc zrobić?

  • Wyloguj się z konta e-mail za każdym razem, gdy skończysz czytanie lub pisanie wiadomości e-mail.
  • Nigdy nie klikaj na linki w spamie .
  • Regularnie aktualizuj swój system i program antywirusowy.

dodany: 27.11.2012 | tagi: , , ,

Okazyjna cena exploita kont pocztowych Yahoo

0

Komu, komu, bo idę do domu! Macie wolne 700$? Można za tę sumę nabyć drogą kupna exploit, który porywa konta pocztowe Yahoo.  exploit pozwala na użycie luki cross-site scripting (XSS) do kradzieży ciasteczek i przejęcia danego konta mailowego.

Sprzedawcą jest haker o wdzięcznej nazwie TheHell. Oczywiście nikt nie wyda 700$ nie wiedząc czy exploit działa. Nikt nie kupuje kota w worku. TheHell zamieścił wideo pokazujące działanie exploita na ekskluzywnym podziemnym rynku cyberprzestępczości – Darknode.

Wideo reprodukował i zamieścił na YouTube bloger Brian Krebs. Widać na nim jak uzyskać dostęp do konta ofiary.

Po pierwsze atakujący musi zwabić ofiary do kliknięcia w spreparowany, złośliwy adres URL. W momencie otworzenia linku logger rejestruje ciasteczka. Ofiara jest przekierowana z powrotem na stronę poczty Yahoo. Atakujący może od tej chwili przekierowywać sesje przeglądania ofiary do woli. Logger zastępuje ciasteczka, które ukradł i pozwala atakującemu na zalogowanie do przejętego konta e-mail.

Haker obiecuje, że exploit działa na wszystkich przeglądarkach i nie wymaga omijania filtrów XSS na IE czy Chrome. Dodatkowo zachwala swój produkt niską ceną, w porównaniu do innych, podobnych exploitów, które można kupić za ponad 1000$.

BlogerKrebs ostrzegł Yahoo. Luka jest podobno łatwa do załatania, ale najpierw trzeba ją znaleźć. Dyrektor Bezpieczeństwa w Yahoo Ramses Martinez powiedział, że większość błędów XSS jest korygowana przez proste zmiany w kodzie. Całość ma zająć kilka godzin.

Dla end-userów to kolejne ostrzeżenie przeciw ślepemu klikaniu w linki, przed wcześniejszym upewnieniem się co do jego źródła.