In che modo la visita di una pagina Web può infettare il tuo computer?


17

Il computer di mia madre è stato recentemente infettato da una sorta di rootkit. È iniziato quando ha ricevuto un'e-mail da un caro amico che le chiedeva di visitare una specie di pagina web. Non l'ho mai visto, ma mia madre ha detto che era solo un blog di qualche tipo, niente di interessante.

Alcuni giorni dopo, mia madre ha effettuato l'accesso sulla home page di PayPal. PayPal ha dato una sorta di avviso di sicurezza in cui si afferma che per prevenire le frodi, avevano bisogno di alcune informazioni personali aggiuntive. Tra alcune delle informazioni più normali (nome, indirizzo, ecc.), Hanno chiesto il suo SSN e il PIN della banca! Si è rifiutata di inviare tali informazioni e si è lamentata con PayPal del fatto che non avrebbero dovuto richiederle.

PayPal ha dichiarato che non avrebbe mai chiesto tali informazioni e che non si trattava della loro pagina web. Non c'era un simile "avviso di sicurezza" quando accedeva da un altro computer, solo dal suo. Non è stato un tentativo di phishing o reindirizzamento di qualche tipo, IE ha chiaramente mostrato una connessione SSL a https://www.paypal.com/

Ricordò quella strana e-mail e ne chiese alla sua amica - l'amica non l'ha mai inviata!

Ovviamente, qualcosa sul suo computer stava intercettando la home page di PayPal e quell'e-mail era l'unica altra cosa strana accaduta di recente. Mi ha affidato di sistemare tutto. Ho eliminato l'orbita del computer dall'orbita poiché era l'unico modo per essere sicuro (cioè, riformattato il suo disco rigido e fatto un'installazione pulita). Sembrava funzionare bene.

Ma questo mi ha fatto pensare ... mia madre non ha scaricato ed eseguito nulla. Non c'erano strani controlli ActiveX in esecuzione (non è analfabeta per computer e sa di non installarli) e usa solo la webmail (ovvero nessuna vulnerabilità di Outlook). Quando penso alle pagine Web, penso alla presentazione dei contenuti: JavaScript, HTML e forse alcuni Flash.

Come potrebbe eventualmente installare ed eseguire software arbitrario sul tuo computer? Sembra un po 'strano / stupido che esistano tali vulnerabilità.


Probabilmente usando un flash player obsoleto, credo che ci fosse una vulnerabilità in una versione recente che avrebbe permesso questo tipo di cose.

Risposte:


7

Se sta usando una versione obsoleta di IE (o Firefox), allora ci sono vulnerabilità ben note nel browser stesso. Sì, è un po 'strano / stupido ma scrivere software perfetto è molto, molto, molto difficile.

Probabilmente ci sono vulnerabilità sconosciute / non divulgate nelle attuali versioni dei browser Web (così come ogni altro software)


So che scrivere software perfetto è molto difficile. Ma questa sembra solo una strana vulnerabilità. Quasi come se un file jpg creato in modo pericoloso potesse sfruttare un difetto in Photoshop, installando così un virus. Non ha senso che i dati delle immagini (o, in questo caso, html / javascript) possano avere a che fare con l'accesso al file system della macchina.

1
Ha molto a che fare con l'accesso al file system. È TUTTO memorizzato nella cache ed elaborato localmente.
John T,

3

Sono abbastanza convinto che il flash abbia alcune vulnerabilità. Sono stato infettato da siti Web che ho visitato utilizzando Firefox e sono sicuro di non aver installato nulla.


Un altro motivo per odiare il flash!
alex,

0

Guarda gli attaks di cross-site scripting (XSS) - wikipedia ref .

Potrebbe anche essere un malware eseguibile in un allegato di posta che è stato avviato.
Ma, dal momento che descrivi andare a un sito, è probabile che un exploit del browser dal sito indicato sia colpevole.

Se fa clic sui collegamenti nella sua cassetta postale mentre è connesso a Internet,
tutte le sue vulnerabilità del browser vengono esposte ai siti che raggiunge. Dovresti almeno mantenere la sua macchina patchata (se il sistema operativo è ancora supportato) e installare un antivirus (sì, che farà scattare una grande conversazione qui).

Ma, in gran parte, sarebbe imparare a non fare clic su alcun collegamento sconosciuto o aprire allegati imprevisti che manterranno il suo sistema più sicuro .

Questa domanda non dovrebbe essere migrata su SuperUser ?


Il file host di Windows può essere modificato per deviare sempre il sistema (anche dopo un riavvio).
Ecco un attacco più evoluto usando queste cose: come il malware espande una rete di phishing .
Se usi cose come Spybot Search & Destroy . Continuerà a controllare il file host per danni.


Sono pienamente consapevole degli attacchi XSS, ma non è stato così. È possibile ripristinare il computer, quindi navigare immediatamente su paypal e ottenere comunque la stessa pagina falsa. Ovviamente ha fatto clic sul collegamento mentre era connessa: non utilizza un programma client di posta elettronica, ma utilizza un'app Web tramite il browser. Stava usando IE8 + WinXp SP3, con tutti tranne forse gli aggiornamenti più recenti.

Non capisco il consiglio "impara a non fare clic su alcun link sconosciuto ..." Ogni volta che esegui una ricerca su Google, ignori tutti i siti Web che non hai mai visitato prima? Inoltre, ho detto che non è analfabeta dal computer. Sa di non aprire strani allegati (ovviamente, se l'e-mail proviene da un caro amico o da una famiglia, sarai ancora così scettico? Telefoni sempre al tuo amico prima di aprire e-mail?)

E cos'è SuperUser? Un altro sito di tipo stackoverflow? Ciò è legato alla programmazione, ad es. Quale relazione JavaScript potrebbe avere con il file system di una macchina.

1
Ok, per favore non prenderlo male, non sono in alcun modo cinico. Sono d'accordo che questo è vicino alla programmazione, ma si adatta più al sito SuperUser.com da questo stesso forum in quanto comporta un'interazione dell'utente piuttosto che una soluzione di programmazione.
nik,

1
Informazioni su "imparare a non fare clic su alcun collegamento sconosciuto" e punti correlati. Capisco che è difficile rendere l'utente casuale più attento su tali cose .. e, immagino, ci stiate già lavorando. Tuttavia, tieni presente che un link sconosciuto non è semplice come un risultato di ricerca di Google (che in realtà è un cattivo esempio, poiché esiste un certo numero di controlli di phishing effettuati da Google sui suoi risultati di ricerca). Non è necessario telefonare a qualcuno ogni volta che si ottiene un forward ... ma, è necessario elaborare una strategia migliore.
nik,

0

Questo tipo di exploit è pericoloso solo se si esegue il browser con diritti di amministratore.


0

Internet Explorer non è affatto un browser sicuro, ma una pagina Web non dovrebbe essere in grado di infettare un computer, a meno che non stia sfruttando alcuni buchi di sicurezza piuttosto grandi nei plug-in e / o nelle funzionalità aggiuntive del browser.

Per essere il più sicuro possibile, utilizza un browser Web (come Google Chrome) che visualizza le pagine Web in una sandbox, un ambiente virtuale, che impedirà al codice dannoso di raggiungere il tuo computer. Inoltre, Chrome contatta un database di siti Web dannosi e visualizza un avviso prima di caricarli, per essere sicuri.

Scrivere plugin e componenti aggiuntivi per i browser implicherà sempre un equilibrio tra potenza e sicurezza, qualcuno ha dato al plugin un po 'troppa potenza. (Scommetto che è java)


-1

Sono propenso a credere che ciò che ha vissuto sia stato il risultato di un plug-in obsoleto come Flash o Java. A meno che non si abbia effettivamente bisogno di Java sul sistema, rimuoverlo. E cerca sempre di rimanere aggiornato con gli installatori. Davvero, se la sicurezza è un tale problema, direi loro di usare Linux. Questo ha un programma di aggiornamento molto migliore. In alternativa, potrebbe esserci un exploit all'interno del browser stesso. IE8 è un vecchio browser che è pieno di falle di sicurezza. Usa Chrome, Opera o Firefox, sono tutti chilometri più moderni e più sicuri. Inoltre, il fatto che stia utilizzando XP significa che il sistema non ha assolutamente il concetto di autorizzazioni. Non ci sono sudo e root e nessun controllo account utente. I sistemi operativi Windows più moderni come 7 e 8 hanno UAC, che sebbene non sia all'altezza di sudo + apparmor / SELinux in Linux, è ancora molto meglio di niente.

Solo per eliminare una confusione, un sito può infettare il tuo computer senza plugin. Vale a dire, JavaScript. Sebbene i moderni browser eseguano il sandbox di JavaScript in modo da poter eseguire solo le operazioni sui file in / tmp, JavaScript può comunque sfruttare le vulnerabilità effettive all'interno del browser stesso. In alcuni casi, questo può anche essere un exploit nei browser con patch (comunemente noto come exploit 0day) sebbene tali incidenti siano rari.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.