Ένα απλό αλλά αποτελεσματικό flaw ανακαλύφθηκε στο eBay website, ελάττωμα που έχει την δυνατότητα να εκθέσει χιλιάδες εκατομμύρια των πελατών του σε προηγμένo Phishing Attack.
Ένας ανεξάρτητος Ερευνητής Ασφαλείας ανέφερε μια κρίσιμη ευπάθεια στο eΒαy τον περασμένο μήνα που έχει την ικανότητα να επιτρέπει σε hackers να φιλοξενήσουν ένα fake login page, για παράδειγμα ένα phishing page, στο eBay website στην προσπάθειά τους να υποκλέψουν τα users password και να ‘θερίσουν’ τα credentials εκατομμυρίων πελατών του eBay.
Ο αναλυτής, με το ψευδώνυμο ΜLT, αναφέρουν πως οποιοσδήποτε μπορεί να εκμεταλλευθεί την ευπάθεια αυτή για να στοχεύσει τους eBay users με σκοπό να αποκτήσει πρόσβαση στα accounts τους ή να ‘θερίσει’ χιλιάδες, ή ακόμη και εκατομμύρια, από τα credentials των πελατών του eΒαy , στέλνοντάς τους phishing emails.
Ο MLT δημοσίευσε σε ένα blog post σχετικά με το ελάττωμα ασφάλειας του eΒαy την Δευτέρα, δείχνοντας παράλληλα πόσο εύκολο είναι να εκμεταλλευθεί κανείς το ελάττωμα αυτό και να κλέψει τα passwords των πελατών.
https://www.secnews.gr/100180/facebook-messenger-soon-get-bots/Διαβάστε ακόμη: Το Facebook Messenger και τα bots του… θα το δούμε σύντομα;
Ορίστε πως δουλεύει το eΒαy Hack:
Το flaw στην ουσία ‘κατοικεί’ στο URL parameter που επιτρέπει στον hacker να κάνει inject το iFrame του στο νόμιμο eBay website.
Πρόκειται για ένα κοινό web bug, γνωστό με τον τεχνικό όρο Cross-Site Scripting (XSS) vulnerability, κατά την εκμετάλλευση του οποίου επιτιθέμενοι μπορούν μέσω της ευπάθειας να κάνουν inject κακόβουλα lines κώδικα σε ένα νόμιμο website.
Ο MLT συμπεριέλαβε ένα iframe link στο δικό του 3rd-party phishing page εντό του eΒαy URL, το οποίο το έκανε να μοιάζει ως κανονικό login page.
Το login page αυτό έμοιαζε ακριβώς όπως το πραγματικό eΒαy login page, ειδικά στο δεύτερο κομμάτι του του customised URL, το οποίο φυσικά οι περισσότεροι χρήστες δεν προσέχουν καν!
Σε αυτήν την περίπτωση, το iFrame που περιλάμβανε το phishing page του αναλυτή έχει Ιnjected στην σελίδα χρησιμοποιώντας το ακόλουθο payload:
Εδώ είναι ολόκληρο το URL, συμπεριλαμβανομένου του παραπάνω payload, τη στιγμή του injection:
Κι εδώ βλέπουμε το screenshot του URL:
Εφόσον ολοκληρωθεί αυτή η διαδικασία, ο MLT έγραψε τα username και password στο επηρεασμένο website και πάτησε sign in, το οποίο του έβγαλε σφάλμα. Εντωμεταξύ όμως, ήτα σε θέση να ‘αρπάξει’ τα credentials που εισήγαγε σε plaintext.
https://www.secnews.gr/100217/hacker-sentenced-prison/Διαβάστε ακόμα: Αυτός είναι ο Hacker με την μεγαλύτερη ποινή φυλάκισης… 334 χρόνια!
Video proof- of -concept
Ο MLT επίσης μας παρουσιάζει κι ένα video proof-of-concept, δείχνοντάς μας το flaw real-time. Μπορείτε να το παρακολουθήσετε με ιδιαίτερο ενδιαφέρον:
[su_youtube url=”https://youtu.be/WuZ61NWbK_4″ width=”580″ height=”380″]
