1

В последнее время я получал случайные электронные письма от друзей с Yahoo Mail (или sbcglobal.net, который использует Yahoo Mail) без темы и некоторого случайного URL, на который я не собираюсь нажимать.

Сначала я подумал, что кто-то завладел их паролем, и рекомендовал обновить пароли.

Я только что получил письмо от кого-то, кто изменил свой пароль на прошлой неделе.

Это какая-то уязвимость межсайтового скриптинга? Есть ли какой-нибудь способ узнать, просто будучи получателем одного из сообщений?

Вот несколько заголовков из недавней почты:

Received: from [999.999.999.999] by web83806.mail.sp1.yahoo.com via HTTP; Wed, 27 Jun 2012 09:23:30 PDT
X-Mailer: YahooMailWebService/0.8.118.349524
Message-ID: <1340814210.6602.YahooMailNeo@web83806.mail.sp1.yahoo.com>
Date: Wed, 27 Jun 2012 09:23:30 -0700 (PDT)

IP в черном списке в полученном заголовке был от динамического IP в Норвегии.

Поэтому я предполагаю, что машина с этим IP-адресом смогла получить cookie-файл Yahoo Mail моего друга и использовать его для отправки электронной почты людям из ее адресной книги. Это звучит точно? Даже если кто-то использует HTTPS-соединение с Yahoo Mail, специально созданное электронное письмо может быть в состоянии извлечь cookie-файл и доставить его в другое место с помощью вызова RPCXML, верно?

Так как же защитить учетную запись Yahoo Mail от такой атаки?

ОБНОВЛЕНИЕ: я получил подобные письма от четырех разных людей сейчас. Очевидно, это не единичный инцидент, и пользователи Yahoo Mail наверняка могут что-то сделать, чтобы защитить себя.

3 ответа3

1

@tomlogic: Мне интересно, происходит ли это из части «Всегда в системе» панели инструментов Yahoo. Нетрудно было бы подделать соединение https, исходящее с сервера Yahoo через сценарии страницы, в основном запрашивая идентификатор пользователя в безопасном формате (хотя, как вы указали, это также может быть файл cookie сеанса, поскольку сеансы Yahoo теперь практически неопределенны по длине), чтобы страница могла знать, какое объявление показывать на основе сохраненного профиля.

Я не знаю, что это на самом деле так, но именно так я и сделал бы: вам нужно снять флажки с лототами, когда вы настраиваете почту Yahoo (и несколько других «бесплатных» приложений), чтобы избежать установка этой чертовой панели инструментов, которая не делает ничего другого, кроме как предоставляет окно поиска Yahoo (кто больше это использует?) и новое уведомление по электронной почте - но также сохраняет каждый веб-сайт, который вы посещаете, и все, что вы вводите, в незашифрованной веб-форме.

Я отправляю ответы 5 разным людям, которые прислали мне одно из этих писем "без темы со ссылкой на фишинговый сайт", что им следует сменить пароль с другого компьютера или со смартфона, а затем запустить антивирус как а также антишпионское ПО, такое как MalwareBytes или SpyBot, перед входом в Yahoo на своем компьютере, а также удаление панели инструментов Yahoo и связанных приложений Yahoo. Какую дополнительную ценность они обеспечивают?

1

Случилось и с моим аккаунтом в Yahoo. Заражение произошло из-за того, что электронная почта перешла на веб-ссылку, на которую я случайно щелкнул мой Blackberry. Пришлось сменить пароль, удалить подключение Blackberry к электронной почте Yahoo и удалить мой список контактов Yahoo, чтобы быть в безопасности. Сообщали в службу поддержки Yahoo, но они предоставляли только стандартные ответы. Я не установил панель инструментов Yahoo. Я сильно подозреваю, что злоумышленник использует некоторую слабость в инфраструктуре учетных записей Yahoo, возможно, связанную с соединителем Yahoo BIS для Blackberry. Это не похоже ни на попытку взлома пароля, ни на перехват сеанса.

0

Это не межсайтовый скриптинг.

Вполне возможно, что ваш друг является жертвой Phishing или infected by spyware на своем ПК. В интернет-SEA существует множество программ-шпионов, которые крадут пароли пользователей, данные кредитных карт, файлы cookie и т.д. Важные детали.

Такой тип автоботов устанавливается в браузере как дополнение или расширение и загружается из почтовых сообщений и спама.

Чтобы быть в безопасности Обновляйте свой браузер часто и используйте хорошие шпионские программы (поиск Spybot и уничтожение).

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .