Продолжаются фишинг-атаки на разработчиков браузерных дополнений, проводимые с целью захвата контроля над дополнением и подстановки в него вредоносного кода, отображающего навязчивые рекламные блоки. Если первой жертвой атаки стало (https://www.opennet.me/opennews/art.shtml?num=46945) дополнение Copyfish с аудиторией 40 тысяч установок, то новая жертва оказалась значительно крупнее - злоумышленникам удалось (http://chrispederick.com/blog/web-developer-for-chrome-compr.../) получить контроль за дополнением Web Developer (https://chrome.google.com/webstore/detail/web-developer/bfba...) у которого более миллиона активных пользователей.
По сообщению (https://twitter.com/chrispederick/status/892779297865318400) автора Web Developer, он по недосмотру ввёл данные в подставную форму аутентификации Google, подготовленную организаторами фишинг-атаки. Метод проведения атаки был идентичен недавно описанной (https://www.opennet.me/opennews/art.shtml?num=46945) атаке на дополнение Copyfish. Разработчику также пришло письмо с уведомлением о наличии проблем с соблюдением правил каталога Chrome App Store и ссылкой на тикет с информацией по их устранению, при переходе на которую выдавалась подставная форма входа Google.
Захватив аккаунт злоумышленники сразу опубликовали новую версию Web Developer 0.4.9, в которую встроили код (https://gist.github.com/piedpiperRichard/076516da60f45842f1a...) для подстановки своей рекламы на просматриваемые пользователем сайты. Не исключается, что дополнение могло выполнять и другие вредоносные действия, например, перехват паролей к web-сайтам (в частности, имеются (https://gist.github.com/piedpiperRichard/076516da60f45842f1a...) подозрения на перехват парамеров доступа к API Cloudflare).
Версия с вредоносным кодом распространялась в течение нескольких часов, после чего разработчик уведомил о проблеме инженеров Google и оперативно выпустил обновление 0.5 с устранением вредоносной вставки. Для защиты от подобных фишинг-атак разработчикам дополнений рекомендуется включить в настройках двухфакторную аутентификацию (автор Web Developer её не использовал, что наряду с невнимательностью при заполнении форм оказало решающее влияние на успех проведения атаки).
URL: http://chrispederick.com/blog/web-developer-for-chrome-compr.../
Новость: http://www.opennet.me/opennews/art.shtml?num=46970
Если код вставлял свою рекламу, то, по идее, не сложно должно быть выяснить (для гугла, например), кто за эту рекламу деньги получает. А тут уже и до уголовного дела не далеко.
Осталось доказать, а разумные люди вставляли бы не только свою рекламу.
тех кто занимается разбоем и грабежами можно как угодно назвать но только они от этого разумными не становятся.
Кстати, фишинг может быть правдоподобной оплаченной попыткой под дурачка закосить.
> Кстати, фишинг может быть правдоподобной оплаченной попыткой под дурачка закосить.да, мы везде!
>фишинг может быть правдоподобной оплаченной попыткой под дурачка закосить.Сорри, я тут бабла и данных чуток покосил :)
Я думаю google надо запретить публиковать дополнения тем у кого нет второго фактора. Это будет правильное решение. Что это за разраб который не способен защитить свое приложение? В лес такого разраба
И чем тут поможет второй фактор? На фишинг-страничке ещё одно поле для ввода сделать не осилят? Это средство эффективно только при краже отдельно взятого пароля, а когда юзер сам всё вводит — толку никакого.
Второй фактор - подтверждение СМС, не?
> Второй фактор - подтверждение СМС, не?и ты этот код введешь на той же фишинговой странице, большое спасибо.
А мы тебе покажем после этого сообщение об ошибке аутентификации, или вообще что твой акаунт заблокирован, звоните в бубен, пишите роботу. Причем даже адрес робота дадим настоящий, он все равно цитатами из фак отвечает.
Ты этот код просто не получишь
Почему? Фишинговая форма прикручена через условный селениум к настоящей странице аутентификации. Как только в фишинговоую форму вводятся нужные данные они тут же через селениум уходят на настоящую форму. С точки зрения google тут все ок, поэтому смс будет отправлен.Учитвая целенаправленность аттаки там вообще не селениум мог быть а человек.
Двухфакторка работает от прямой утечки паролей, но не от mitm.
Ну во первых фишинговая страничка ворующая логин с паролем это намного проще чем страничка с перенаправлением на сервер google.Во вторых сервер google может заартачиться
В третьих получив доступ к аккаунту злоумышленник не сможет сменить пароль без СМСки которую уже неоткуда взять.
Сделай google дальше загрузку обновленного ПО через подтверждение СМС и всё, атака остановлена
(заметили что банки на транзакцию тоже СМС хотят не смотря на то что вас они по 2 фактору уже аутентифицировали)Человек получит сообщения что что-то не то и на его акк вошли с другого устройства и быстро поменяет пароль и остановит атаку на порядок быстрее чем это сделает техсаппорт google.
Видите сколько неоспоримых плюсов если подумать.
Злоумышленнику никто не мешает сменить привязанный телефон. Выдоить из пользователя несколько кодов подтверждения подряд вообще проще простого — сконструировать страницу так чтобы старый код вводился неправильно или пропадал при отсылке и можно легко убедить жертву, что она сама опечаталась.2FA не защищает от МИТМ, взлома компьютера, и ядерного взрыва. Да и от кражи пароля злоумышленником она защищает так себе — при использовании гугловской липовой "двухфакторности", если у злоумышленника откуда-то появился доступ к паролю пользователя, он может использовать этот же источник и для получения второго "фактора". "Факторы" вроде бы независимы, а канал для их передачи используется один.
Для смены телефона разве не надо отправить смс на старый телефон?
При вводе кода подтверждения авторизации просто сообщаем пользователю, что код введён неправильно, а сами авторизуемся и уже запрашиваем у гугла смену телефона. Гугл отправляет код подтверждения на смену телефона, а мы сообщаем пользователю, что выслан новый код подтверждения авторизации и просим его ввести.
1. От клинического случая ничего не поможет, но не думаю что это случай который вы описываете. Конструкторы, 100 вводов смс. Это далеко от реальности и не выходит за границы вашей фантазии об идеальном взломе.
2. Покупайте fido 2fa
> От клинического случая ничего не поможет, но не думаю что это случай который вы описываете. Установка дополнения пользователем, загрузка дополнения злоумышленником в Google. Это далеко от реальности и не выходит за границы вашей фантазии об идеальном взломе.ffgj
Не обязательно.TOTP(RFC 6238) у того же гугла, да вроде и железный второй фактор у них был, если правильно помню.
А, да, еще есть вариант подтверждения нажатия на мобиле залогиненной в аккаунт кнопки подтверждения, что это ты сейчас пытаешься войти в аккаунт.
> Не обязательно.TOTP(RFC 6238) у того же гугла, да вроде и железный второй
> фактор у них был, если правильно помню.был, ubiquity, но вот в эреф ты ее попробуй-ка купи. Я пытался - хрен там :-(
>> Не обязательно.TOTP(RFC 6238) у того же гугла, да вроде и железный второй
>> фактор у них был, если правильно помню.
> был, ubiquity, но вот в эреф ты ее попробуй-ка купи. Я пытался
> - хрен там :-(В РФ бери fido u2f JaCarta U2F
Джакарта дорогая и ненужно. Проще посмотреть на амазоне (там бывают недорогие варианты), а потом через Shipito переслать в РФ, почта выходит копеечная, благ весь мизерный. Например ePass FIDO от Feitian
> Проще посмотреть на амазоне (там бывают недорогие варианты), а потом через Shipito
> переслать в РФа потом, приехав побухать с друзьями в LA, неожиданно присесть лет на двадцать? Если, конечно, дома не отсидел уже. Чувак, ты только что предложил нелегально экспортировать криптографическое устройство, а потом нелегально его импортировать. И это тебе не мобильник без идиотской "нотификации", а именно спецжелезка с единственной функцией - не отмажешься.
да, оно очень похоже на флэшку, но случись обострение у любого таможенника - и привет.
> Я думаю google надо запретить публиковать дополнения тем у кого нет второго фактора.гуглю давно надо запретить выделываться с угрозами немедленно блокировать дополнения и без малейшей возможности обжаловать вердикт робота, поскольку контакты живых людей прячут тщательней, чем агентов ЦРУ.
Или вы настолько не в теме, что не понимаете, почему, получив поддельное письмо, все бросаются срочно логиниться в свой акаунт, не тратя секунд даже на внимательный просмотр ссылки?
Этому разработчику еще повезло - у него были какие-то личные связи. Обычный человек этого "инженера гугль" может десять лет искать. (copyfish-то хоть сейчас, интересно, заблокировали или вернули контроль настоящим разработчикам?)
и да, при мало-мальской грамотности фишера никакая двухфакторка не поможет, ты второй код введешь ровно туда же, куда и первый. И оно радостно авторизуется за тебя.
> и да, при мало-мальской грамотности фишера никакая двухфакторка не поможет, ты второй
> код введешь ровно туда же, куда и первый. И оно радостно
> авторизуется за тебя.Хорошо. Введешь. Авторизуется. И тебе придет письмо «Вы только что залогинились с такого-то IPшника», а ты смотришь и понимаешь, что страна-то не твоя, не то что IPшник. Ну и да, однократно может и залогинятся, но повторить аттракцион не удастся.
И это хорошо если тебе гугл вообще даст сходу войти с незнакомого адреса, если у них не сработает защита.
> Хорошо. Введешь. Авторизуется. И тебе придет письмо «Вы только что залогинились с
> такого-то IPшника»ну так ему и пришло, и он именно тогда и понял, что попал, когда ж еще.
А если двухфакторка позволит отключить двухфакторность за еще одну sms (кто попробует, расскажите?) - то и вовсе все просто - выводим форму один раз - авторизуемся тем что нам туда введут, и показываем ту же самую форму - второй (пользователь думает - ну опечатался в пароле или в коде из sms, ну, бывает, скорей, скорей, пока гугль не забанил плагин, войти и разобраться что случилось) - и получаем второй код, который позволит нам ее выключить нафиг, сменить пароль (именно в этом порядке) и дальше делать что хотим.> И это хорошо если тебе гугл вообще даст сходу войти с незнакомого адреса, если у них не
> сработает защита.ну вот мне - даст, потому что для защиты от этого он слишком много хочет про меня знать.
Письмо, разумеется, придет, но не факт что я сразу могу его прочитать.
Ну т.е. вы описываете уж совсем клинический случай. Таких надо банить и по делом.
> Ну т.е. вы описываете уж совсем клинический случай.то есть вы никогда не опечатываетесь, ни в пароле, ни в длинной бессмысленной строчке второго ключа, копируя ее с телефона, и вам насpать, что гугль ваш плагин сейчас забанит вместе с автором, вы еще десять напишете и зарегистрируетесь через тор, можно не торопиться реагировать на предупреждение?
> Таких надо банить и по делом.
правильно, чтоб остались только плагины, которые никому не нужны, включая их авторов, мальчиков с феноменальной зоркостью.
Я, в целом, поддерживаю - кто играет с гуглем на деньги, сам виноват.
>[оверквотинг удален]
> то есть вы никогда не опечатываетесь, ни в пароле, ни в длинной
> бессмысленной строчке второго ключа, копируя ее с телефона, и вам насpать,
> что гугль ваш плагин сейчас забанит вместе с автором, вы еще
> десять напишете и зарегистрируетесь через тор, можно не торопиться реагировать на
> предупреждение?
>> Таких надо банить и по делом.
> правильно, чтоб остались только плагины, которые никому не нужны, включая их авторов,
> мальчиков с феноменальной зоркостью.
> Я, в целом, поддерживаю - кто играет с гуглем на деньги, сам
> виноват.у меня есть yubico токен яжепраграммист
> у меня есть yubico токен яжепраграммистблин, ты напрограммил убико-токен? А если купил - то где? "официальный представитель" не отвечает на письма частных лиц, американский не желает ничего продавать в РФ, ввозить нелегально криптоустройство - да идите вы дважды нахрен, яжконтрабандист.
Как?
> И это хорошо если тебе гугл вообще даст сходу войти с незнакомого адреса, если у них не сработает защита.Какая защита? Если злоумышленник арендует хост в твоём регионе и часовом поясе, как гугл его от тебя отличит?
> Какая защита? Если злоумышленник арендует хост в твоём регионе и часовом поясе,может мне еще и собственной кредиткой за него заплатить, чтоб совсем уж спалиться?
ломанул гнилую жумлу на vps'е, вот тебе и хост.
Вот что значит неконтролируемый выход в сеть - СУДИТЬ надо любую компанию, ПО которой вылезает в Интернет без разрешения автора.
Если бы плагины обновлялись по желанию юзера, инфицированная база была бы стократ меньше.
Чего мелочиться - сразу расстреливать.
Это экстремизм, батенька.
> Если бы плагины обновлялись по желанию юзера, инфицированная база была бы стократ меньше.А если бы кое-кто (не будем показывать пальцем на хромающего лидера и "законодателя мод" в мире веба, как и на на тройку отстающих-подражателей) вместо встраивания и дополнения все новыми и разными свистелками и перделками, сделал _нормальную_ aутентификацию, вместо старого доброго гоняния паролей в плейнтексте ... уводить учетки фишингом стало бы даже без двухфактроной аутентификации намного сложнее.
Но на этом же особо не попиаришься, поэтому лучше сделаем вид, что обертка в виде tls (ssl), в контексте передачи паролей – совсем не костыль, прикрученный скотчем, а как раз для этого и задумывался, угу.
ssh? Не, не слышали.
Если уж разработчики умудряются свои данные слить добровольно, то простых юзеров даже бить за это не хочется теперь.
Да лаадна. Быть того не могёт. Дыряв только флеш. Остальные нашлепки на браузеры прочнее брони. Сами браузеры вообще не могут быть дырявыми. Никогда. Ни за что.
Сарказм это низшая форма юмора.
Сарказм - это приём сатиры, высшая степень иронии, он вообще не свойственен юмору.