Знаете ли вы, почему мы так настойчиво повторяем «Не ходите по подозрительным ссылкам, не открывайте ссылки в спамерских письмах и тд, и тд, и тд»? Потому что пользователь, наивно полагающий «Ой, тут что-то интересненькое! Зайду по ссылочке, посмотрю и все. Я же не буду ничего скачивать и вводить свой пароль, если что. Значит я в безопасности» - это идеальная жертва для злоумышленника. Даже на самом на вид «добреньком» сайте могут таиться злые скрипты, которые выполнившись, подгрузят к вам вредоносов и украдут ваши пароли.
Вчера мы получили письмо, следующего содержания:
Получателями этой рассылки значились довольно разнообразные адресаты - начиная от обычных пользователей на mail.ru и заканчивая тех поддержкой одного из крупных московских провайдеров.
Ссылка, данная в письме под многообещающим анонсом «вот он уже готов!» перенаправляла пользователя на совершенно другой сайт.
Этот «совершенно другой сайт» крал IP-адреса и cookies, в результате чего злоумышленник мог получить пароли от любой искомой службы: электронной почты, платежной системы, или аккаунта социальной сети, при условии, что пользователь там залогинен.
Этот прием совершенно не нов и называется он XSS – cross site scripting. Как понятно из названия, а также из выше приведенного примера, метод действует, коротко говоря, следующим образом: на уязвимом добром сайте прописывается скрипт, выполняющийся при загрузке. Этот скрипт делает свое черное дело, благодаря чему пользователь с высокой вероятностью лишается своего пароля.
В данном конкретном примере автор не скрывает своей причастности к атаке. На одном из популярных хакерских форумов выложено руководство по созданию подобных творений, в которое вставлена ссылка на ту самую «снифалку», которая была использована в выше указанном случае. А найти сам злой сайт по whois не составляет труда.
В общем повторение пройденного: не ходите по ссылкам в спамерских письмах. Даже если после посещения вам кажется, что совершенно ничего не произошло - это совершенно не значит, что так оно и есть!!!
