it-swarm.com.de

Ist bekannt, dass Computerkriminelle leicht zu bearbeitende Websites wie Wikipedia ausnutzen, um schädliche Skripte einzubetten?

Als ich vor einigen Monaten (Dezember 2014) eine Seite auf Wikipedia las, sah ich ein Popup-Fenster von BT , aber das wurde mir schnell klar Als ich die Seite schloss, verschwand das Popup. Ich öffnete dann Firebug und inspizierte die Box und sah, dass sie tatsächlich Teil der Webseite selbst war und dass das Klicken auf die Bestätigungsschaltfläche mich an einen Ort bringen würde, an den ich nicht wollte. Es war sehr geschickt verkleidet, echt auszusehen.

Ich habe so etwas noch nie gesehen. Ist dies der einzige Fall oder ist bekannt, dass dies geschieht? Ich habe einen Screenshot bereitgestellt, um zu zeigen, wie es aussah:

(A screenshot I took at the time.

40
Alex

Angenommen, Sie kommen von einer BT-Verbindung, ist dies möglicherweise Teil des BT-Kindersicherungsprogramms.

Es gibt eine Diskussion über ein ähnlich aussehendes Popup hier , das mit dem zu verknüpfen scheint, was Sie sehen, und auch einen Thread hier auf der BT-Site, der eine hat Link zu einem Prozess, um diese Einstellung zu deaktivieren.

Um diese Theorie zu testen, können Sie sich in Ihr Konto einloggen und die Kindersicherung deaktivieren. Ich würde nicht empfehlen, dies über einen im Popup angezeigten Link zu tun, falls es böswillig ist.

Versuchen Sie anschließend, auf dieselbe Seite zuzugreifen, um festzustellen, ob das Problem erneut auftritt.

Eine andere Möglichkeit, dies zu testen, besteht darin, über HTTPS auf die Site zuzugreifen, da sie dann keinen Inhalt einfügen können sollten, es sei denn, sie haben ein vertrauenswürdiges Stammzertifikat in Ihrem Browser installiert, für das Sie BT-Software auf dem Computer installieren müssten betroffenes System.

Bei Ihren ursprünglichen Fragen zu Kriminellen, die Inhalte in legitime Websites einfügen, handelt es sich um einen häufigen Angriffsvektor, entweder durch Kompromittierung der Website (z. B. durch Ausnutzung veralteter Software) oder durch in die Website eingefügte Inhalte wie Anzeigen (dies ist häufig genug) eine eigene Wikipedia-Definition haben " Malvertising ")

Ob es Wikipedia passieren könnte, ist mir nicht bewusst , und da Wikipedia eine so gut frequentierte Site ist, würde ich es erwarten ein großes Ziel sein.

44
Rory McCune

Wikipedia und große beliebte Websites sind größtenteils sicher, da Sicherheitslücken schnell gefunden werden, normalerweise lange bevor die Website ihren Schwung erhält.

Kleinere Blogs/Foren, die Benutzerinhalte ermöglichen, sind anfälliger. Ich habe vor einigen Jahren einen russischen Tech-Blog besucht, und das Posting-Formular erlaubte einige HTML-Formatierungen. Jemand hat es geschafft, JavaScript-Code über die Schaltfläche "Upvote" in den Beitrag aufzunehmen (sodass jeder, der den Beitrag öffnet, ihn automatisch positiv bewertet) und ein Black Overlord Bild auf der Hauptseite veröffentlicht. Am folgenden Tag wurde das Blog mit einer verbesserten Nachbereinigung behoben, aber Hunderte von Menschen haben den schädlichen JavaScript-Code zuvor ausgeführt. Ersetzen Sie den Upvote-Code durch ein XSS-Skript, das Kennwörter stiehlt, und Sie werden sehen, wie gefährlich es gewesen sein könnte.

Wenn Sie gezwungen sind, einen HTTP-Proxy zu verwenden, um auf das Web zuzugreifen, kann Ihr Anbieter oder Arbeitgeber Skripte in etwa jede Seite einfügen. Diese sind normalerweise nicht böswillig, aber es kann ziemlich ärgerlich sein. Wenn Ihr Provider gehackt wird, sind Sie möglicherweise den Skripten ausgesetzt, die die Hacker eingerichtet haben.

12

Ich habe so etwas noch nie gesehen. Ist dies der einzige Fall oder ist bekannt, dass dies geschieht?

Das Szenario, das Sie erlebt haben, kann harmlos sein, wie in der Antwort von @ RоryMcCune hervorgehoben, und es kann ein schändlicher Versuch/Angriff sein. Lassen Sie mich dieses letzte Szenario erklären.

Es gibt ein interessantes Szenario zu Ihrer Frage: Wie @ RоryMcCune sagte, ist das, was Sie gesehen haben, ziemlich häufig, sodass ein Angreifer sich als diesen Pop ausgeben kann -up . Ich meine, ein Angreifer, dem es gelingt, eine bestimmte Website zu kompromittieren, kann ein Popup erstellen, das diesem ähnlich ist, da es weit verbreitet und vertrauenswürdig ist.

Dieser Identitätswechsel kann verwendet werden, um zwei Zwecke auszuführen:

  1. Clickjacking-Angriffe
  2. Drive-by-Download-Angriffe

Der schlimmste Aspekt dieses negativen Szenarios ist, dass Drive-by-Download-Angriffe darin bestehen, ohne Ihre Zustimmung eine Malware (auch wenn Spyware und Malware mit dieser Methode häufiger verwendet werden) auf Ihren Computer/Ihr Telefon herunterzuladen. Es gibt zwei Möglichkeiten, wie dies ausgelöst werden kann: Ohne Interaktion meine ich, indem Sie nur eine Website besuchen oder die Interaktion des Benutzers beispielsweise durch Klicken zum Bestätigen, Abbrechen oder Beenden einer Popup-Nachricht (wie in Ihrem Fall) anfordern. . Diese Angriffe nutzen die Schwachstellen der von Ihnen verwendeten Browser oder ihrer Plugins aus.

Sind auf einigen bekannten Websites Drive-by-Download-Angriffe aufgetreten, wie Sie gefragt haben? Ja. Lassen Sie mich ein gutes Beispiel nennen: 2011 , ein Angriff nutzte das Browser-Plugin Java), um Tausende von Opfern zu infizieren, die die Homepage von Amnesty International in Großbritannien besucht haben.

Ihr Szenario könnte auch ein Clickjacking-Angriff sein, bei dem das Opfer dazu verleitet wird, auf Online-Inhalte zu klicken, die entweder für Werbung bestimmt sind, oder im schlimmsten Fall vernünftige/private Informationen von Ihnen zu stehlen oder sogar Ihren Computer mithilfe des Drive-by zu gefährden Download-Angriff als Ergänzungsmethode. Solche Angriffe zielen auf soziale Netzwerke wie Facebook, Twitter (und dies ist häufig).

2
user45139

Eine ausgereifte Wiki-Software wie Wikimedia erlaubt normalen Benutzern normalerweise nicht, Skripte in Wiki-Artikel einzubetten.

Dennoch sind Wikis Hauptziele für Suchmaschinen-Spammer. Die Struktur von Wikis ist sehr suchmaschinenfreundlich, was bedeutet, dass Wikis häufig einen hohen Seitenrang erhalten, der sich wiederum auf alle von ihnen verlinkten Websites erstreckt. Außerdem bleibt alles, was auf ihnen gepostet wird, für immer im Bearbeitungsverlauf der Seite, auch wenn es zurückgesetzt wird ... wenn es sogar zurückgesetzt wird - es gibt unzählige tote Wikis im Web, die erstellt wurden und mit vielen nützlichen und relevanten Inhalten gefüllt wurden , wurden von allen Arten von Websites von Drittanbietern verlinkt, von Suchmaschinen indiziert und dann von Benutzern und Administratoren vergessen, aber nie offline geschaltet. Solche Wikis sind großartige Linkfarmen.

Infolgedessen wird jedes Wiki mit nur wenig Aufmerksamkeit bald von Bots heimgesucht, die Spam in Form neuer Artikel oder in Form des Hinzufügens irrelevanter Links zu vorhandenen Artikeln in das Wiki posten.

Menschen, die keine ethischen Probleme mit der Verwendung dieser Form der destruktiven Black-Hat-SEO haben, haben oft auch keine Bedenken, Malware zu verbreiten. Daher können die Websites, für die sie werben möchten, oft unsicher sein.

Fazit : Das Durchsuchen eines von Spambot befallenen Wikis ist normalerweise sicher (obwohl nicht unbedingt nützlich), das blinde Verfolgen von Offsite-Links aus einem Wiki jedoch nicht.

2
Philipp