¿Se sabe que los delincuentes informáticos explotan sitios web de edición fácil como Wikipedia para incrustar scripts maliciosos?

40

Cuando estaba leyendo una página en Wikipedia hace varios meses (diciembre de 2014), vi lo que parecía una ventana emergente de BT , pero pronto me di cuenta de que cuando cerré la página, la ventana emergente desapareció. Luego abrí Firebug e inspeccioné la caja y vi que en realidad era parte de la página web en sí y que hacer clic su botón de confirmación me llevaría a un lugar al que no quería ir. Fue muy hábilmente disfrazado para parecer real.

Nunca antes había visto algo como esto. ¿Es este el único caso o se sabe que esto sucede? He proporcionado una captura de pantalla para mostrar cómo se veía:

    
pregunta Alex 13.08.2015 - 19:33
fuente

4 respuestas

44

Suponiendo que viene de una conexión de BT, es posible que esto sea parte del programa de control parental de BT.

Hay una discusión de una ventana emergente de aspecto similar aquí , que parece vincule lo que está viendo, y también un hilo aquí en el sitio de BT, que tiene un enlace a un proceso para desactivar esa configuración.

Para probar esta teoría, puede iniciar sesión en su cuenta y cancelar la opción de control parental. No aconsejaría hacerlo desde ningún enlace presentado en la ventana emergente en caso de que sea malicioso.

Una vez que hayas hecho eso, intenta acceder a la misma página para ver si el problema vuelve a ocurrir.

Otra forma de probarlo sería acceder al sitio a través de HTTPS, ya que entonces no deberían poder inyectar ningún contenido a menos que hayan instalado un certificado raíz de confianza en su navegador, para el cual habría necesitado instalar BT Software en el sistema afectado.

En cuanto a sus preguntas originales acerca de los delincuentes que inyectan contenido en sitios web legítimos, este es un vector de ataque común, ya sea a través del compromiso del sitio web (por ejemplo, mediante la explotación de software obsoleto) o mediante el contenido inyectado en el sitio como anuncios (esto es lo suficientemente común como para tener su propia definición de Wikipedia " malvertising ")

En cuanto a si podría sucederle a Wikipedia, no estoy consciente de que eso ocurra y si Wikipedia es un sitio tan bien transitado, esperaría que fuera un gran objetivo.

    
respondido por el Rоry McCune 13.08.2015 - 19:49
fuente
12

Wikipedia y los grandes sitios populares son en su mayoría seguros, ya que los agujeros de seguridad se encuentran rápidamente, generalmente mucho antes de que el sitio adquiera su impulso.

Los blogs / foros más pequeños que permiten el contenido de los usuarios son más vulnerables. Solía visitar un blog de tecnología rusa hace varios años, y el formulario de publicación permitía algún formato HTML. Alguien logró incluir el código JavaScript desde el botón de ascenso en la publicación (para que todos los que abran la publicación lo hicieran automáticamente) y publicaron un Black Overlord en la página principal. Al día siguiente, el blog se solucionó con una mejora de la desinfección posterior, pero cientos de personas han ejecutado el código JavaScript malicioso antes de que ocurriera. Reemplace el código de upvote con un script XSS que roba contraseñas, y verá lo peligroso que pudo haber sido.

Si se ve obligado a usar un proxy HTTP para acceder a la web, su proveedor o empleador puede insertar scripts en cualquier página. Estos no suelen ser maliciosos, pero puede ser bastante molesto. Además, si su proveedor es pirateado, puede estar expuesto a los scripts que los hackers hayan colocado.

    
respondido por el Dmitry Grigoryev 13.08.2015 - 21:51
fuente
2
  

Nunca antes había visto algo como esto. ¿Es este el único caso o   ¿Se ha sabido que esto sucede?

El escenario que experimentaste podría ser inocuo, como se destaca en la respuesta de @RоryMcCune ', y puede ser un intento / ataque infame. Déjame explicarte este último escenario.

Hay un escenario interesante en tu pregunta: como dijo @RоryMcCune, lo que presenciaste es bastante frecuente, por lo que un atacante podría suplanta ese pop-up . Quiero decir, un atacante que logra comprometer un sitio web determinado puede crear una ventana emergente similar a la que se tiene, ya que está muy extendida y es confiable .

Esta suplantación se puede utilizar para realizar dos propósitos:

  1. Ataques de clickjacking
  2. Ataques de descarga desde la unidad

El peor aspecto de este escenario negativo es que los ataques de descarga directa consisten en descargar sin su consentimiento un malware (incluso si los spywares y los malwares son más utilizados con este método) en su máquina / teléfono. Hay dos formas en que esto podría activarse: sin ninguna interacción, me refiero con solo visitar un sitio web o requerir la interacción del usuario, por ejemplo, haciendo clic para confirmar, cancelar o salir de un mensaje emergente (como en su caso) . Estos ataques explotan las vulnerabilidades de los navegadores que utiliza o sus complementos.

¿Ocurrieron ataques de descarga en algunos sitios web famosos como pediste? Sí. Permítanme mencionar un buen ejemplo: en 2011 , un ataque que explotó Java complemento del navegador para infectar a miles de víctimas que visitaron la página de inicio de Amnistía Internacional en el Reino Unido.

Su escenario también podría ser un ataque de clickjacking en el que la víctima es engañada para que haga clic en algún contenido en línea destinado a publicidad o, en el peor de los casos, para robarle información privada / sensible o incluso comprometer su máquina con el Ataque de descarga drive-by como un método de complemento. Tales ataques apuntan a redes sociales como Facebook, Twitter (y esto es frecuente).

    
respondido por el user45139 14.08.2015 - 08:01
fuente
2

Un software wiki maduro como Wikimedia no suele permitir que los usuarios normales incrusten ningún script en los artículos de wiki.

Pero aún así, los wikis son los principales objetivos para los spammers de los motores de búsqueda. La estructura de los wikis es muy amigable para los motores de búsqueda, lo que significa que los wikis a menudo obtienen una gran cantidad de rango de página que a su vez se extiende a cualquier sitio web vinculado a ellos. Además, todo lo que se les publique vivirá para siempre en el historial de edición de la página, incluso cuando se revierta ... si incluso se revierte, hay innumerables wikis muertos en la web que se crearon, se llenaron con un montón de contenido útil y relevante. , fueron vinculados por todo tipo de sitios web de terceros, fueron indexados por los motores de búsqueda y luego fueron olvidados por usuarios y administradores, pero nunca fueron desconectados. Tales wikis hacen granjas de gran enlace.

Como resultado, cualquier wiki con solo un poco de exposición pronto será perseguido por bots que publican spam en la wiki, ya sea en forma de nuevos artículos o en forma de agregar enlaces irrelevantes a los artículos existentes.

Las personas que no tienen problemas éticos con el uso de esta forma de SEO destructivo de sombrero negro a menudo tampoco tienen reparos en la propagación de malware, por lo que los sitios web que intentan promover a menudo no son seguros para visitar.

Conclusión: La navegación en una wiki infestada de spambot suele ser segura (aunque no necesariamente útil), pero no es categóricamente seguir los enlaces externos de una wiki.

    
respondido por el Philipp 14.08.2015 - 12:53
fuente

Lea otras preguntas en las etiquetas