È possibile che un collegamento di phishing installi un virus importante su un Mac?

6

Di recente la mia ragazza ha hackerato il suo account MS Exchange universitario. L'aggressore ha assunto il suo account e-mail e ha iniziato a usarlo per inviare migliaia di e-mail di spam. Dopo un po ', il suo account di posta elettronica deve aver raggiunto una sorta di limite e il server dell'università ha iniziato a inviarle un per ogni email che lo spammer ha tentato di inviare dal suo account!

Ad ogni modo, si ricorda di aver cliccato accidentalmente su un link di phishing in un'e-mail in webmail sul suo MacBook Pro che affermava essere un'e-mail dai servizi IT dell'università, ma questo è tutto. Apparentemente, il link "non ha fatto nulla" e si è chiuso immediatamente. NON ha compilato alcun modulo per la richiesta del suo indirizzo email o password.

Nonostante abbia cambiato la sua password, gli aggressori non si sono fermati. Com'è possibile? Il suo account Exchange è collegato al sistema di account centrale dell'università, ma non sono sicuro di come esattamente. Ad ogni modo, cambiare una password cambia tutto.

Ora i servizi IT le stanno dicendo di reinstallare tutto (Mac OS X, file, ecc.) sul suo laptop prima di accettare di riattivare il suo account universitario. Mi sembra sbagliato: come potrebbe essere infettato il laptop, se tutto ciò che ha fatto è stato fare clic su un link in un'email via web ? È possibile? (Mi aspetto che probabilmente stava usando Firefox). Sono preoccupati di avere un virus rootkit.

Aggiornamento : ho dimenticato di menzionare che Sophos aveva anche installato. Non sono sicuro di quanto sia aggiornato.

    
posta Joseph Humfrey 21.08.2012 - 22:01
fonte

3 risposte

13

risposta : Si. È possibile. Reinstallare OSX e quindi modificare tutte le sue password. È stata sottoposta a phishing.

I servizi IT sono corretti qui.

Prevenzione : Per evitare che ciò accada in futuro, assicurati che comprenda l'importanza degli aggiornamenti e come individuare ed evitare le frodi di phishing.

Come è successo : Molti utenti malintenzionati useranno URL abbreviati o siti Web legittimi con vulnerabilità XSS. Anche se la tua Università esegue la scansione dei link e delle e-mail alla ricerca di virus, se l'autore dell'attacco utilizza un sito legittimo per attaccare, l'università lo permetterà.

Successivamente, il link che ha cliccato probabilmente l'ha portata a una pagina che tentava un exploit del browser, un attacco ad Adobe Flash o qualsiasi cosa la tua ragazza non avesse aggiornato di recente. Meno probabile, ma ancora possibile, è che potrebbero aver utilizzato un exploit zero-day, uno per il quale al momento non è disponibile alcuna patch. Dopo questo punto, gli aggressori potevano fare tutto ciò che volevano sul suo laptop, inclusa l'installazione di software dannoso.

Nota a margine : chiedi nel titolo "qualcosa ... qualcosa ... virus su un mac" . Contrariamente alla credenza popolare, l'idea che un Mac sia più o meno sicuro di un "PC" è un errore. Se un Mac o un PC eseguono un servizio vulnerabile, sono entrambi possibili da sfruttare.

    
risposta data 21.08.2012 - 22:05
fonte
1

@ Ramhound - Dovrò, rispettivamente, non essere d'accordo con te su "Sophos ... non è progettato per rilevare malware".

Uno dei suoi (e altri pacchetti là fuori) principali scopi e funzioni è quello di rilevare malware e virus. L'articolo " Sophos Anti-Virus per Mac Review " di CultofMac spiega la Prodotto Sophos abbastanza bene. Inoltre, questo articolo di ArsTechnica va in un po 'più di profondità su altri prodotti anti-virus Mac.

Tuttavia, se l'attacco era lato server, non sarebbe stato probabilmente rilevato.

@Joseph Humfrey: Come sai che il Mac è stato effettivamente infettato? È possibile che abbiano attaccato sul lato server e non sul lato client? Sembra che stesse usando un browser per accedere all'e-mail. È possibile che abbiano dirottato la sessione o che avesse una password debole o che in qualche modo abbiano compromesso Firefox.

Per quanto riguarda i rootkit, non ci sono molti rootkit in questo momento per Mac OS X, specialmente se si è aggiornati. Ecco un commento sul forum di Sophos Open in base ai loro rappresentanti tecnici sull'argomento,

Most of the rootkit reports I get for OS X turn out to be people who turn on remote login with password authentication and then have an easy to guess login/password combo. Others have been to do with people who have installed trojans that change the DNS Server settings to point at a malicious DNS server. Very few could actually be considered a rootkit, and these have mostly been targeted (therefore, a generic detection/cleanup tool would not provide much benefit).

    
risposta data 23.08.2012 - 20:34
fonte
-2

Un altro approccio a questo sarebbe stato installare un programma antivirus e scansionare il computer per vedere se ci fossero potenziali problemi.

I principali che vengono in mente sono ClamXav e Sophos. Consiglio vivamente di farlo (anche se potrebbe essere troppo tardi ora) piuttosto che dover reinstallare quindi migrare i file. Perché aggiustare qualcosa che potrebbe non essere nemmeno rotto? Non tutte le e-mail di phishing utilizzano exploit basati su OS X.

Entrambi questi programmi (in particolare Sophos) sono molto suscettibili di trovare qualcosa che potrebbe essere sbagliato. Ecco un link a un articolo di lifehacker che esamina i diversi pacchetti software antivirus (anche questi controllano il malware ecc.): link .

Se hai eseguito un'installazione pulita su MB Pro, molto probabilmente non dovrai trasferire nulla da ~ / Library o Macintosh HD / Library (manterrò un backup se possibile poiché ci sono preferenze, e-mail, note adesive , ecc. che sono memorizzati lì). Vorrei trasferire documenti, desktop, download, musica, film da Macintosh HD / Utente /. Inoltre, se si dispone di applicazioni per cui non si dispone del disco di installazione, è possibile provare a trasferirle dalla cartella Macintosh HD / Applicazioni /.

Se sei preoccupato che questi file vengano infettati, esegui la scansione con le soluzioni AV menzionate sopra.

Ancora una volta, non piangerei pollo piccolo e reinstallare tutto. Quando stavo facendo questo tipo di lavoro ogni giorno su Mac, raramente era necessario un problema come questo.

Andy

    
risposta data 22.08.2012 - 04:50
fonte

Leggi altre domande sui tag