È noto che i criminali informatici sfruttano siti Web facilmente modificabili come Wikipedia per incorporare script dannosi?

40

Quando stavo leggendo una pagina su Wikipedia diversi mesi fa (dicembre 2014) ho visto quella che sembrava una finestra pop-up da BT , ma presto mi sono reso conto che quando ho chiuso la pagina il pop-up è scomparso. Ho quindi aperto Firebug e ho ispezionato la casella e ho visto che faceva parte della stessa pagina Web e che facendo clic il suo pulsante di conferma mi avrebbe portato da qualche parte dove non volevo andare. Era molto abilmente camuffato per sembrare reale.

Non ho mai visto niente del genere. È questo l'unico caso o è noto che ciò accada? Ho fornito uno screenshot per mostrare come appariva:

    
posta Alex 13.08.2015 - 19:33
fonte

4 risposte

44

Supponendo che tu venga da una connessione BT, è possibile che questo sia parte del programma di controllo genitori di BT.

C'è una discussione su un popup simile alla visualizzazione qui , che sembra legare a quello che stai vedendo, e anche una discussione qui sul sito di BT che ha un collegamento a un processo per disattivare quell'impostazione.

Per testare questa teoria è possibile accedere al proprio account e disattivare i controlli parentali. Non consiglierei di farlo da qualsiasi collegamento presentato nel pop-up nel caso sia dannoso però.

Dopo averlo provato, prova ad accedere alla stessa pagina per vedere se il problema si ripresenta.

Un altro modo per testarlo sarebbe quello di accedere al sito tramite HTTPS in quanto non dovrebbero essere in grado di iniettare alcun contenuto a meno che non abbiano installato un certificato radice attendibile nel browser, per il quale sarebbe necessario installare BT software sul sistema interessato.

Per quanto riguarda le tue domande originali sui criminali che iniettano contenuti in siti web legittimi, questo è un vettore di attacco comune, sia attraverso la compromissione del sito web (ad esempio attraverso lo sfruttamento di software obsoleti) o tramite il contenuto inserito nel sito come pubblicità (questo è abbastanza comune da avere la sua definizione di Wikipedia " malvertising ")

Per quanto riguarda il fatto che potrebbe accadere a Wikipedia, non sono consapevole di quello che si sta verificando e visto che Wikipedia è un sito così ben trafficato, mi aspetterei che fosse un grande obiettivo.

    
risposta data 13.08.2015 - 19:49
fonte
12

Wikipedia e i grandi siti popolari sono per lo più sicuri, poiché le falle di sicurezza si trovano rapidamente, di solito molto prima che il sito ottenga lo slancio.

Blog / forum più piccoli che consentono ai contenuti dell'utente di essere più vulnerabili. Ho visitato un blog tecnologico russo diversi anni fa e il modulo di pubblicazione consentiva alcune formattazioni HTML. Qualcuno è riuscito a includere nel post il codice JavaScript dal pulsante upvote (in modo che tutti quelli che aprivano il post lo avrebbero automaticamente svuotato) e pubblicato un Black Overlord immagine nella pagina principale. Il giorno seguente il blog è stato corretto con una migliore post-sanitizzazione, ma centinaia di persone hanno eseguito il codice JavaScript malevolo prima che ciò accadesse. Sostituisci il codice precedente con uno script XSS che ruba le password e vedrai quanto potrebbe essere pericoloso.

Se sei costretto a utilizzare un proxy HTTP per accedere al Web, il tuo fornitore o datore di lavoro può inserire gli script in qualsiasi pagina. Questi di solito non sono dannosi, ma possono essere abbastanza fastidiosi. Inoltre, se il tuo provider viene hackerato, potresti essere esposto a qualsiasi script messo in atto dagli hacker.

    
risposta data 13.08.2015 - 21:51
fonte
2

I've never before seen anything like this. Is this the only case or has this been known to happen?

Lo scenario che hai vissuto potrebbe essere innocuo come evidenziato nella risposta di @RоryMcCune e può essere un tentativo / attacco nefasto. Lasciatemi spiegare questo ultimo scenario.

C'è uno scenario interessante sulla tua domanda: come ha detto @ RоryMcCune, ciò che hai visto è abbastanza frequente, quindi un utente malintenzionato potrebbe impersonare tale pop-up . Voglio dire, un attaccante che riesce a compromettere un determinato sito web può creare un pop-up simile a quello visto che è diffuso e fidato .

Questa rappresentazione può essere utilizzata per eseguire due scopi:

  1. Attacchi di Clickjacking
  2. Attacchi di download drive-by

L'aspetto peggiore di questo scenario negativo è che gli attacchi di download drive-by consistono nel scaricare senza il tuo consenso un malware (anche se spyware e malware sono più utilizzati con questo metodo) sulla tua macchina / telefono. Ci sono due modi in cui questo potrebbe essere innescato: senza alcuna interazione, intendo semplicemente visitando un sito Web o richiedendo l'interazione dell'utente, ad esempio facendo clic per confermare, annullare o uscire da un messaggio popup (come nel tuo caso) . Questi attacchi sfruttano le vulnerabilità dei browser che usi o dei loro plugin.

Gli attacchi di download drive-by si sono verificati su alcuni famosi siti Web come richiesto? Sì. Consentitemi di menzionare un buon esempio: on 2011 , un attacco sfruttato Java plugin per browser per infettare migliaia di vittime che hanno visitato la homepage di Amnesty International nel Regno Unito.

Il tuo scenario potrebbe anche essere un attacco di clickjacking in cui la vittima viene ingannata per fare clic su un contenuto online destinato alla pubblicità o, nel peggiore dei casi, per rubare informazioni sensibili o private da te o persino per compromettere la tua macchina utilizzando il attacco di download drive-by come metodo complementare. Tali attacchi colpiscono i social network come Facebook, Twitter (e questo è frequente).

    
risposta data 14.08.2015 - 08:01
fonte
2

Un software wiki maturo come Wikimedia di solito non consente agli utenti normali di incorporare script negli articoli wiki.

Tuttavia, i wiki sono i principali obiettivi per gli spammer dei motori di ricerca. La struttura dei wiki è molto adatta ai motori di ricerca, il che significa che i wiki ottengono spesso un buon numero di page rank che a loro volta si rivolgono a qualsiasi sito web collegato da loro. Inoltre, qualsiasi cosa pubblicata su di loro vivrà per sempre nella cronologia delle modifiche della pagina, anche se ripristinata ... se viene addirittura ripristinata - ci sono innumerevoli wiki morti sul Web che sono stati creati, riempiti con un sacco di contenuti utili e pertinenti , sono stati collegati da tutti i tipi di siti Web di terze parti, sono stati indicizzati dai motori di ricerca e sono stati poi dimenticati dagli utenti e dagli amministratori, ma mai portati offline. Tali wiki fanno grandi link farm.

Come risultato, qualsiasi wiki con solo un po 'di esposizione sarà presto infestato dai bot che inviano spam alla wiki, sia sotto forma di nuovi articoli o in forma di aggiunta di collegamenti irrilevanti a articoli esistenti.

Le persone che non hanno problemi etici nell'usare questa forma di SEO distruttivo da cappello nero spesso non hanno remore a diffondere il malware, quindi i siti Web che cercano di promuovere spesso non sono sicuri da visitare.

Bottom line: La navigazione in una wiki infestata da spambot è di solito sicura (anche se non necessariamente utile), ma non segue ciecamente alcun link fuori sito da una wiki.

    
risposta data 14.08.2015 - 12:53
fonte

Leggi altre domande sui tag