Expand Cut Tags

No cut tags
komik_ad_ze: (графика)
[personal profile] komik_ad_ze
Originally posted by [livejournal.com profile] alik_ntu at Рассылка подозрительной ссылки на baidu.com всем моим контактам в Skype
3-го ноября 2016 года в 17:02 (по киевскому времени) почти все (54 из 65) мои контакты в Skype получили от меня подозрительную ссылку (причём в течение 1-2 минут и персонифицированную, т.е. содержащую уникальную часть для каждого адресата).
Ссылка была вида http://www.baidu.com/link?url=XXX#YYY=ZZZ
Где, XXX - некая сгенерированная строка из больших и маленьких латинских букв, цифр, подчёркивания и минуса, длиной 64 или 43 символа (например, "MdESBbLah5If-B1OHcb_GBB1BvC0fYBcO1Z5iWmTOIvHgZoCnTxKInNy4Y69yTGL" или "Zkyozvl2exh5lDu9EJ5-PNoyLjka8YP4dQUIEYLoV1y"), YYY - видимо тоже сгенерированная строка, но возможно и из словаря, потому что похоже на слова, но встречались и просто наборы цифр (например, "gonasydo", "sazulybu", "jwohj" или "83424").
В финале - самое интересное, ZZZ - это скайп-имя того, кому ссылка была отправлена.

Судя по сообщениям от некоторых перешедших по этой ссылке, после редиректов, она приводила на страницу, где якобы Стивен Хокинг рекламировал какие-то таблетки. Не знаю запускались ли в процессе редиректов или на итоговой странице какие-то опасные скрипты, были ли попытки инфицировать или получить доступ к каким-то данным, или может это спам с попыткой продвижения чудо-таблеток, а скайп-имена вставлялись просто для отслеживания какой-то статистики.

С подобной ситуацией я уже столкнулся за неделю до того - один мой скайп-контакт 26 октября 2016 21:57 прислал мне странную ссылку вида https://www.linkedin.com/slink?code=XXX#YYY=ZZZ, XXX = "f-qXmQu", YYY = "41236", ZZZ = моё скайп-имя (т.е. схема аналогичная, но linkedin вместо baidu и первый код XXX сильно покороче). Когда я позже с ним пообщался - оказалось, что он не отправлял ссылку, но она ушла всему контакт-листу, причём в указанное время он не был в онлайне в скайпе и более того - все его компьютеры (где он заходил этим скайпом) были выключены, скайп был только на телефоне (iPhone) и в спящем режиме (я видел его жёлтеньким).

Я же был в онлайне в момент массовой отправки от моего имени (на рабочем компьютере, причём на телефоне Skype я ни разу не использовал).
Понятное дело, что первым делом я бросился менять свой пароль на Skype. Потом отвечал на недоумение "осчастливленных" контактов. Потом начал гуглить.

На форуме community.skype.com я нашёл множество тем с аналогичными проблемами (например, Link to "baidu" website sent to all of my contacts.), очень многие жаловались, что их постигла эта проблема, спрашивали совета, делились соображениями, пытались проводить анализ ситуации и сделать выводы. При этом рекомендации от модераторов и поддержки Skype сводились к "смените пароль, используйте сложный и уникальный", "проверьте компьютер на вирусы", "включите двухфакторную верификацию для Microsoft аккаунта" (вот, например, прикреплённая вверху тема с рекомендациями недельной давности от community manager  - Spam messages & links sent from your account?).

Главное для меня было понять почему это произошло, чтобы постараться избежать повторения в будущем и знать что посоветовать другим. Проверка компьютеров (домашнего и рабочего) на вирусы ничего не дала. Я не указывал своё скайп-имя ни в LinkedIn, ни в Facebook, ни на других порталах и аккаунтах, а тем более не вводил пароль от него (и никогда не поддавался на фейковые письма о необходимости залогиниться и ссылкой, маскирующейся под настоящую). Моё скайп-имя не совпадает с логинами на других сайтах (тот же LinkedIn, Facebook и т.п.). Единственное пересечение - привязка к одному e-mail. Но, если бы увели e-mail, то всё равно не могли бы узнать мой текущий пароль в Skype, пришлось бы инициировать его сброс через ссылку на почту и установить новый пароль, которого бы я понятное дело не знал и не мог бы войти в скайп, но пока я сам не сменил пароль - я входил в скайп и меня не выкидывало, потом логинился на сайт для смены пароля и меня тоже пускало, плюс на сайте e-mail в журнале входов и действий не было никаких подозрительных сессий за последнее время.

В процессе чтения всяческих рекомендаций я наткнулся на ссылку https://account.live.com/Activity где можно посмотреть активность по Microsoft аккаунту (оказалось, что всех пользователей Skype без их ведома сделали счастливыми обладателями Microsoft аккаунта), в процессе входа оно нашло мой другой Microsoft аккаунт (заводил для работы с Visual Studio, был привязан к тому же e-mail, что и Skype) и кажется связало их, в конце концов я увидел свою Skype-активность за последний месяц и за 2-3 минуты до рассылки был успешный вход с бразильского айпи через Firefox, судя по всему эта сессия и была источником массовой спам-рассылки (т.е. сообщение не отправлялось с моего компьютера; кстати, ещё одним подтверждением этого было то, что я не видел менюшки "удалить сообщение" даже учитывая, что на тот момент не прошло и 5 минут с момента отправки, а на соседнем сообщении эта менюшка была).

После чтения сотен сообщений на форуме community.skype.com могу выделить такую важную информацию:
- первые случаи [массовых рассылок странной персонализированной ссылки всему списку контактов] были зарегистрированы уже более года назад и повторяются регулярно по сей день;
- жертвы конечно же меняли свои пароли, но, как минимум некоторым, это не помогло и рассылка повторялась;
- проблема коснулась в том числе и тех, у кого были установлены уникальные и надёжные-стойкие (сгенерированные) пароли, а компьютеры надёжно защищены (антивирусами, файерволами и т.п.);
- некоторые жертвы на момент рассылки уже 3-4 года вообще никоим образом не пользовались Skype, не логинились в него (а тут шеф звонит и спрашивает "ты зачем гадкую ссылку прислал?");
- были жертвы использующие Skype только на Windows (как я), были только на Mac, были только на Android или только на iOS, были разные сочетания, не видно никакой избирательности по платформам;
- почти все жертвы не нашли никаких вирусов или malware после сканирования множеством разных антивирусов и утилит;
- многие в журнале активности находили успешный вход из неожиданной страны, некоторые - ещё парочку (несколько, не десятки и не сотни) неуспешных попыток входа до этого;
- были как люди которые впервые услышали о Microsoft аккаунте (т.е. всю жизнь пользуются только Mac, никакого отношения к Microsoft не имеют и очень удивляются, что у них есть Microsoft аккаунт), так и те, у которых есть аккаунты Outlook.com, Hotmail.com и др., которыми они активно пользуются;
- у некоторых рассылка включала отправки на пользователей, отсутствующих в списке контактов (у меня по истории сообщений первая отправка была на отсутствующее в списке контактов скайп-имя live, кто-то на форуме тоже упоминал его);

Понятное дело, что причины проблемы у жертв теоретически могли отличаться, но вот какие были выдвинуты и обсуждались возможные объяснения (в скобках возражения, контраргументы):
- сообщение отправил вирус на вашем компьютере-планшете-смартфоне-скайпе (в моём случае и многих других - точно нет, потому что отправка шла с другого айпи, скайп был выключен или даже не использовался годами, антивирусы ничего не нашли);
- украл скайп-имя и пароль вирус на вашем компьютере-планшете-смартфоне-скайпе, а рассылка шла с устройства злоумышленника (опять же антивирусы не нашли, много разных платформ - вирус должен быть очень мультиплатформенный и найти подходящие уязвимости на всех платформах, если скайп не использовался 3-4 года, то и украсть было невозможно или украли давно и ждали несколько лет);
- пароль был слишком простой и легко подбирался (у некоторых был очень сложный пароль, а у многих достаточно сложный, чтобы его нельзя было подобрать полным перебором, даже словарным, за вменяемое время, в журнале активности у большинства не было никаких следов перебора, обычно сразу был успешный вход);
- скайп-имя и пароль были украдены во время хакерских атак на другие порталы, как например: LinkedIn, Last.fm, Dropbox (моего скайп-имени и тем более пароля не было ни на каких ресурсах, во время обсуждения не было найдено общности жертв по указыванию своего скайп-имени где-то);
- во время хакерских атак на другие порталы украли логины+пароли от других ресурсов, но они же подошли и для Skype (моё скайп-имя отличается от логинов на всех других ресурсах, в числе жертв были обладатели уникального пароля, сгенерированного утилитой специально только для Skype);
- была атака именно на Skype и были украдены логины+пароли (представители Microsoft отрицают этот факт, у некоторых жертв проблема повторялась уже после смены пароля, выходит атаки и кражи должны были повторяться снова и снова);
- это какая-то уязвимость у Skype и/или Microsoft, возможно связанная с добавлением Skype-аккаунтов в Microsoft-аккаунты, которая даёт возможность логиниться в Skype кем угодно даже не зная пароль (представители Microsoft отрицают этот факт, но это единственное возражение и оно достаточно слабое, они могут не знать об уязвимости или знать, но специально скрывать сей факт, а такая причина достаточно хорошо объясняет практически все озвученные нюансы и симптомы и кажется мне вероятной, хотя и самой печальной, в том плане, что тогда все пользователи Skype в опасности и ничего сделать нельзя);

Какие выводы? В чём причина моей проблемы? "Есть ли жизнь на Марсе, нет ли жизни на Марсе — это науке неизвестно." (ц) После всех часов анализа и гугления - я не знаю. Но такие рекомендации мне кажутся разумными:
- Если вам прислали подобную ссылку (главный признак - ваше скайп-имя в самом конце), то не нужно по ней переходить.
- Если от вашего имени прошла рассылка, то немедленно смените пароль (и Skype и связанного e-mail или вообще привяжите Skype к другому e-mail) и просканируйте все устройства антивирусом, а лучше несколькими разными.
- Универсальные: устанавливайте заплатки к уязвимостям вашей операционной системы, имейте и держите включённым антивирус, не устанавливайте программы из ненадёжных источников, не переходите по подозрительным ссылкам, в том числе присланным по электронной почте, не вводите свои пароли на подозрительных сайтах, тщательно проверяйте адрес в адресной строке браузера, не открывайте подозрительные вложения в электронной почте, проверяйте антивирусом подключаемые флешки.

P.S. Для параноиков встречал рекомендации ресурсов, которые проверяют наличие логина, e-mail, имени в скомпрометированных данных (украденных при атаках на всевозможные порталы):
https://haveibeenpwned.com/
https://www.leakedsource.com/
From:
Anonymous( )Anonymous This account has disabled anonymous posting.
OpenID( )OpenID You can comment on this post while signed in with an account from many other sites, once you have confirmed your email address. Sign in using OpenID.
User
Account name:
Password:
If you don't have an account you can create one now.
Subject:
HTML doesn't work in the subject.

Message:

 
Notice: This account is set to log the IP addresses of everyone who comments.
Links will be displayed as unclickable URLs to help prevent spam.

December 2016

S M T W T F S
    1 23
4567 89 10
11121314 1516 17
1819 20 2122 23 24
25262728293031

Style Credit

Page generated Jul. 27th, 2017 10:30 pm
Powered by Dreamwidth Studios