Video: Fabulous - Воссоединение средней школы Анджелы: фильм (ролики; субтитры) (Nobyembre 2024)
Marami kaming pinag-uusapan tungkol sa mga kakaibang pag-atake ng malware at hindi nakakubli na kahinaan sa seguridad dito sa SecurityWatch, ngunit ang isang pag-atake ay maaaring samantalahin ang isang bagay bilang pangunahing bilang kung paano lumilitaw ang mga bintana sa iyong screen. Ang isang mananaliksik ay nagpakita ng isang pamamaraan kung saan ang mga biktima ay na-trick sa pagpapatakbo ng malware sa pamamagitan lamang ng pagpindot sa liham na "r."
Nitong nakaraang buwan, ang mananaliksik na si Rosario Valotta ay nagsulat ng isang post sa kanyang website kung saan nilalabas niya ang isang pag-atake na binuo sa paligid ng "pag-abuso sa mga interface ng gumagamit ng browser." Ang pamamaraan ay gumagamit ng ilang mga quirks sa mga web browser, na may isang dash ng social engineering na itinapon.
Ang Atake
Tinatawag itong "keyjacking, " pagkatapos ng pag-click sa diskarte kung saan ang mga biktima ay na-trick sa pag-click sa isang bagay na bumubuo ng hindi inaasahang mga tugon. Sa halimbawa ni Valotta, binisita mo ang isang nakakahamak na site at nagsisimula ang isang awtomatikong pag-download. Sa Internet Explorer 9 o 10 para sa Windows 7, nag-trigger ito ng isang napaka-pamilyar na window window na may mga pagpipilian upang Patakbuhin, I-save, o Ikansela.
Narito ang lansihin: itinatakda ng attacker ang website upang itago ang window ng kumpirmasyon sa likod ng isang webpage, ngunit pinapanatili ang pagtuon sa window ng kumpirmasyon. Sinasabihan ng website ang gumagamit na pindutin ang titik na "R, " marahil gamit ang isang captcha. Ang isang kumikislap na cursor gif sa website ay nangunguna sa gumagamit na isipin na ang kanyang mga keystroke ay lilitaw sa dialog box ng pekeng captcha, ngunit ito ay talagang ipinadala sa window ng kumpirmasyon kung saan si R ang shortcut para sa Run.
Ang pag-atake ay maaari ring magamit sa Windows 8, kasama ang aspeto ng panlipunang inhinyero upang ma-engganyo ang biktima sa paghagupit sa TAB + R. Para sa mga ito, iminumungkahi ni Valotta gamit ang isang laro sa pag-type ng pagsubok.
Para sa ating lahat na mga gumagamit ng Chrome doon, nakagawa ng Valotta ang isa pang trick na nasa tradisyonal na pag-clickjacking vein. Sa sitwasyong ito, ang biktima ay pupunta upang mag-click ng isang bagay lamang upang mawala ito sa huling segundo at ang pag-click sa rehistro sa isang window sa ilalim.
"Binubuksan mo ang isang window ng popunder sa ilang mga tukoy na coordinate ng screen at inilalagay ito sa ilalim ng window ng harapan, pagkatapos ay magsisimula ang pag-download ng isang maipapatupad na file, " isinusulat niya. Ang isang window sa foreground ay nagtulak sa gumagamit na mag-click - marahil upang isara ang isang ad.
"Ang nagsasalakay, gamit ang ilang JS, ay maaaring subaybayan ang mga coordinate ng pointer ng mouse kaya, sa lalong madaling panahon ang mouse ay nag-hover sa pindutan, ang magsasalakay ay maaaring isara ang window ng foreground, " patuloy ni Valotta. "Kung angkop ang tiyempo ay may magagandang pagkakataon na mag-click ang biktima sa pinagbabatayan na notification ng popunder, kaya talagang inilulunsad ang sarili ng maipapatupad na file."
Ang pinakatakot na bahagi ng pag-atake na ito ay ang panlipunang engineering. Sa kanyang post sa blog, itinuturo ni Valotta na sinaliksik na ng M.Zalewski at C.Jackson ang posibilidad ng isang tao na nahuhulog para sa pag-clickjack. Ayon kay Valotta, matagumpay ito nang higit sa 90 porsyento ng oras.
Huwag Sobrang Gulat
Kinumpirma ni Valotta na mayroong ilang mga hiccups sa kanyang plano. Para sa isa, maaaring matanggal ng Smartscreen filter ng Microsoft ang ganitong uri ng mga pag-atake sa sandaling naiulat ito. Kung ang nakatagong ehekutibo ay nangangailangan ng mga pribadong admin ng admin, pagkatapos ang User Access Control ay bubuo ng isa pang babala. Siyempre, ang Smartscreen ay hindi nakakaloko at tinutugunan ni Valotta ang isyu ng UAC sa pamamagitan ng pagtatanong, "kailangan mo ba talaga ng mga pribilehiyo sa administrasyon upang maging sanhi ng malubhang pinsala sa iyong mga biktima?"
Tulad ng dati, ang pinakamadaling paraan upang maiwasan ang pag-atake ay sa pamamagitan ng hindi pagpunta sa website. Iwasan ang mga alok para sa mga kakaibang pag-download at out-of-the-blue na link mula sa mga tao. Gayundin, tandaan kung aling mga bintana ang naka-highlight sa iyong screen at mag-click sa mga patlang ng teksto bago mag-type. Maaari mo ring gamitin ang mga browser 'na binuo sa popup / popunder na pag-block ng suporta.
Kung wala pa, ang pananaliksik na ito ay isang paalala na hindi lahat ng mga kahinaan ay sloppy code o exotic malware. Ang ilan ay maaaring maitago sa mga lugar na hindi namin inaasahan - tulad ng mga telepono ng VoIP - o samantalahin ang katotohanan na ang mga computer ay idinisenyo upang magkaroon ng kahulugan sa mga tao sa harap nila.
