El sitio web está abierto dentro del dominio / marco de terceros, ¿es este un posible ataque?

Navega tus respuestas
2

Recientemente tuve un gran aumento en las visitas de un sitio web que gestiono. En una revisión más profunda descubrí que tenía una nueva referencia. Cuando abrí el sitio web me sorprendió bastante.

No es solo una referencia, básicamente, alguien compró un dominio y está abriendo mi sitio web desde un marco de página completo como este: 

frame name="main" noresize framespacing="0" frameborder="no" border="0" 
src="http://zzovq.voluumtrk.com/*****-*****-****-85c7-890*****?idade=35+"

Donde * representa números.

A través de la url en src consiguen mi sitio web. Proxyed, al parecer.

Además del iframe, rastrean las visitas en su página a través de Google Analytics.

Mi pregunta es: ¿es este un nuevo ángulo de ataque? ¿Qué están intentando?

Puedo pensar en algunos ataques posibles. Podrían estar dirigiendo el sitio web y cambiando el contenido (no descubrí ninguna evidencia). Haciendo alguna inyección de JS (al parecer no). En principio XSS no es posible así. ¿Cuál es el punto de esto?

    
pregunta nsn 12.05.2015 - 10:46
fuente

2 respuestas

1

Nota: Mi respuesta es sobre la base de que zzovq.voluumtrk.com no es su propio dominio, ya que menciona que el contenido se está procesando.

Esto es no clickjacking porque el sitio está proxy de su sitio a través de su propio dominio ( zzovq.voluumtrk.com ). Por lo tanto, las defensas normales como la inclusión del encabezado X-Frame-Options pueden no funcionan, ya que podrían estar eliminando dicho encabezado a través de su proxy. Depende de lo sofisticados que sean y de lo dispuestos que estén para eludir las defensas que presente.

Yo diría que esto es más bien un ataque de estilo phishing donde el sitio web malintencionado está intentando capturar credenciales u otros Información enviada ao desde su sitio web.

Otra posibilidad es que este sea algún tipo de plagio en el que el sitio está tratando de recibir pagos por anuncios publicitarios por mostrar su contenido o permitir el uso de la funcionalidad de su sitio a través de su proxy.

Debes analizar cualquier registro de servidor que tengas y buscar patrones. ¿El contenido de este dominio es siempre de la misma IP de su servidor proxy? Si es así, podría bloquear esa IP como una solución temporal para ver si esto afecta su servicio. Aparte de eso, es poco lo que puede hacer aparte de informar esto a su ISP o tomar algún tipo de acción legal.

    
respondido por el SilverlightFox 14.05.2015 - 13:27
fuente
1

Nota: asumí el dominio en src referido directamente a su sitio web.

Posiblemente clickjacking

  

El secuestro de clics, también conocido como "ataque de reparación de la interfaz de usuario", es cuando un atacante usa varias capas transparentes u opacas para engañar a un usuario para que haga clic en un botón o enlace en otra página cuando intentaba hacer clic en el nivel superior página.

Un ejemplo:

  

Por ejemplo, imagine un atacante que construye un sitio web que tiene un botón que dice "haga clic aquí para obtener un iPod gratis". Sin embargo, en la parte superior de esa página web, el atacante ha cargado un iframe con su cuenta de correo y ha alineado exactamente el botón "eliminar todos los mensajes" directamente sobre el botón "iPod gratis". La víctima intenta hacer clic en el botón "iPod gratis", pero en realidad hace clic en el botón invisible "borrar todos los mensajes". En esencia, el atacante ha "secuestrado" el clic del usuario, de ahí el nombre "Clickjacking".

    
respondido por el Michael 12.05.2015 - 11:15
fuente

Lea otras preguntas en las etiquetas

¿Puedo tener un virus / adware en mi enrutador? ¿Cómo puedo obtener el número del paquete EAPOL?