Microsoft Outlook 365 Tutorial (2020) Sync Mail Accounts
Inhoudsopgave:
Hackers achter een recentelijk gedetecteerde e-mailaanvalcampagne misbruiken een kwetsbaarheid op een Yahoo-website om de e-mailaccounts van Yahoo-gebruikers te kapen gebruik ze voor spam, volgens beveiligingsonderzoekers van antivirusleverancier Bitdefender.
De aanval begint met gebruikers die een spam-e-mail ontvangen met hun naam in de onderwerpregel en een kort bericht "bekijk deze pagina", gevolgd door een beetje.kort ingekort link. Als u op de koppeling klikt, gaan gebruikers naar een website die zich voordoet als de MSNBC-nieuwssite die een artikel bevat over hoe u geld kunt verdienen terwijl u vanuit huis werkt, zeiden de onderzoekers van Bitdefender woensdag in een blogpost.
Op het eerste gezicht lijkt dit niet anders van andere scam-sites voor thuiswerk. Op de achtergrond misbruikt een stuk JavaScript-code echter een cross-site scripting (XSS) -kwetsbaarheid op de Yahoo Developer Network (YDN) -blogsite om de Yahoo-sessiecookie van de bezoeker te stelen.
[Meer informatie: Hoe verwijder malware van uw Windows-pc]Hoe het werkt
Sessiecookies zijn unieke tekenreeksen die worden opgeslagen door websites in browsers om ingelogde gebruikers te onthouden totdat ze uitloggen. Webbrowsers gebruiken een beveiligingsmechanisme met de naam hetzelfde-oorsprongsbeleid om te voorkomen dat websites die op verschillende tabbladen worden geopend toegang hebben tot elkaars bronnen, zoals sessiecookies.
Hetzelfde-oorsprongbeleid wordt meestal per domein afgedwongen. Google.com heeft bijvoorbeeld geen toegang tot de sessiecookies voor yahoo.com, hoewel de gebruiker mogelijk tegelijkertijd in dezelfde browser op beide websites is ingelogd. Afhankelijk van de cookie-instellingen kunnen subdomeinen echter toegang krijgen tot sessiecookies die zijn ingesteld door hun bovenliggende domeinen.
Dit lijkt het geval te zijn bij Yahoo, waar de gebruiker ingelogd blijft, ongeacht welk Yahoo-subdomein ze bezoeken, inclusief developer.yahoo. com.
De rogue JavaScript-code die is geladen van de nep-MSNBC-website dwingt de browser van de bezoeker om developer.yahoo.com te bellen met een speciaal ontworpen URL die het XSS-beveiligingslek exploiteert en aanvullende JavaScript-code uitvoert in de context van developer.yahoo. com-subdomein.
Deze extra JavaScript-code leest de sessiecookie van de Yahoo-gebruiker en uploadt deze naar een website die wordt beheerd door aanvallers. De cookie wordt vervolgens gebruikt om toegang te krijgen tot het e-mailaccount van de gebruiker en de spam-e-mail naar al zijn contacten te sturen. In zekere zin is dit een door XSS aangedreven, zichzelf voortplantende e-mailworm.
Het misbruikte XSS-beveiligingslek bevindt zich feitelijk in een WordPress-component met de naam SWFUpload en is gepatcht in WordPress versie 3.3.2 die in april 2012 is uitgebracht, de Bitdefender-onderzoekers zeiden. De YDN Blog-site lijkt echter een verouderde versie van WordPress te gebruiken.
Problemen voorkomen
Nadat de Bitdefender-onderzoekers de aanval op woensdag hadden ontdekt, doorzochten ze de spamdatabase van het bedrijf en vonden ze vrijwel dezelfde berichten die bijna maand, zei Bogdan Botezatu, een senior e-threat analist bij Bitdefender, donderdag via e-mail.
"Het is buitengewoon moeilijk om het succes van zo'n aanval te schatten omdat het niet te zien is in het sensornetwerk," hij zei. "We schatten echter dat ongeveer één procent van de spam die we de afgelopen maand hebben verwerkt, door dit incident is veroorzaakt."
Bitdefender meldde woensdag de kwetsbaarheid voor Yahoo, maar het leek nog steeds te kunnen worden misbruikt op donderdag, zei Botezatu.. "Sommige van onze testaccounts verzenden nog steeds dit specifieke type spam", zei hij.
In een verklaring die later op donderdag werd verzonden, zei Yahoo dat het het beveiligingslek had hersteld.
"Yahoo neemt beveiliging en de gegevens van onze gebruikers over serieus, "zei een vertegenwoordiger van Yahoo via e-mail. "We hebben onlangs kennis genomen van een kwetsbaarheid van een extern beveiligingsbedrijf en hebben bevestigd dat we het beveiligingslek hebben verholpen. We moedigen bezorgde gebruikers aan hun wachtwoorden te wijzigen in een sterk wachtwoord dat letters, cijfers en symbolen combineert en om de tweede inloguitdaging in te schakelen. hun accountinstellingen. "
Botezatu adviseerde gebruikers om te klikken op links die via e-mail werden ontvangen, vooral als ze werden ingekort met bit.ly. Bepalen of een link schadelijk is voordat deze wordt geopend, kan moeilijk zijn met dergelijke aanvallen, zei hij. Botezatu adviseerde gebruikers om te vermijden klikken op links ontvangen via e-mail, vooral als ze worden ingekort met bit.ly. Bepalen of een link schadelijk is voordat deze wordt geopend, kan moeilijk zijn met dergelijke aanvallen, zei hij. In dit geval kwamen de berichten van mensen die de gebruikers kenden - de afzenders stonden in hun contactlijsten - en de kwaadwillende site was goed - gemaakt om eruit te zien als het respectabele MSNBC-portaal, zei hij. "Het is een soort aanval waarvan we verwachten dat deze zeer succesvol zal zijn." Bijgewerkt op 31 januari 2013 met Yahoo-reacties
Aanvallers kapen de .ro-domeinen van Google, Microsoft, Yahoo, anderen
De Roemeense domeinnamen van Google, Yahoo, Microsoft, Kaspersky Lab en andere bedrijven zijn op woensdag gekaapt en zijn omgeleid naar een gehackte server in Nederland.
Yahoo plugt gat dat het kapen van e-mailaccounts mogelijk maakt
Hackers achter een recentelijk gedetecteerde e-mailaanvalcampagne hebben een kwetsbaarheid op een Yahoo-website misbruikt om de e-mail te kapen accounts van Yahoo-gebruikers en gebruik ze voor spam.
Twitter OAuth-functie kan misbruikt worden om accounts te kapen, zegt onderzoeker
Een functie in de Twitter API (application programming interface) kan misbruikt door aanvallers om geloofwaardige social engineering-aanvallen te lanceren die hen een hoge kans zouden geven op het kapen van gebruikersaccounts, onthulde een ontwikkelaar van mobiele applicaties woensdag op de Hack in the Box beveiligingsconferentie in Amsterdam.