ВС:Бухгалтерия 6.3 Печенье с предсказаниями fortune-cookies ru п... (от Печенье с предсказаниями)
Спамеры научились обманывать фильтры браузера
Специалисты из компании Barracuda Networks обнаружили
необычный вид спам-рассылки, которая открывает нежелательные веб-сайты в обход
фильтров репутации. Обман фильтров стал возможным из-за некоторых технических
особенностей сервиса Google Translate.
Как выяснилось, этот сервис может
служить в качестве «редиректора» (узла переадресации), так что фильтры браузера
изначально воспринимают ссылку как указание на вполне легитимный сервис, а в
итоге браузер открывает сайт с рекламой спамеров. В случаях, описанных
компанией Barracuda Networks, ссылки вели на интернет-магазины, продающие
запрещенные к продаже без рецепта (в США) лекарства, включая пресловутую
«Виагру».
По меткому сравнению обозревателей, новый прием спамеров
буквально заимствован из знаменитого фильма «Начало». В этом фильме
злоумышленники научились создавать ложные порталы для перехода между уровнями
сновидений, неотличимые от настоящих, в результате чего главным героям пришлось
сильно постараться, чтобы выйти из очень затруднительного положения. В
спамерской реальности обман многочисленных фильтров работает похожим образом –
браузер и сервис Google Translate получают (и исполняют) инструкции по переводу
пользователя на рекламируемый веб-сайт, хотя любой фильтр репутации отсеял бы
ссылку на этот сайт при первой попытке перехода.
Схема обхода защитных механизмов оказалась довольно сложной,
хотя и не лишенной изящества. Все начинается с массовой рассылки писем по электронной
почте с довольно невинными ссылками, которые указывают на
сервис Google Translate, однако в качестве дополнительного аргумента,
вставлена вторая ссылка. «Ничего не подозревающий» сервис онлайн-перевода
считает, что пользователь хочет получить перевод этой страницы. Кстати, эта
вторая ссылка, якобы предназначенная для перевода, в зафиксированных
инцидентах, была сокращена с помощью сервиса y.ahoo.it компании Yahoo. В итоге
онлайн-переводчик берет ссылку, разворачивает ее в полноценную ссылку на
веб-сайт.
На этапе развертывания ссылки начинается уже вполне
вредоносный план: полученная ссылка содержит небольшой фрагмент обычного
текста, а также специальный код. Когда онлайн-переводчик пытается обработать
этот текст и код, возникает ошибка браузера: исполняемый код «выходит за
пределы» изолированной области iFrame (фактически, это поле с переводом
исходной веб-страницы). Как только код выходит за рамки фрейма, страница
онлайн-переводчика автоматически перенаправляет браузер на сайт с лекарствами,
которые в США нельзя купить без рецепта, поэтому они пользуются большим
спросом. Формально торговля такими лекарствами на территории США незаконна.
Хитрость взлома состоит в том, что многошаговая маскировка
ссылки (специалисты называют такие действия обфускацией) обманывает систему
блокирования спама, поскольку при анализе ссылка определяется как указание на
добропорядочный сайт-переводчик. На данный момент операторы сервиса
онлайн-переводов уже блокируют большинство незаконных ссылок, но
уязвимость остается открытой. В любом случае авторы исследования подчеркивают,
что даже при самой эффективной антиспам-системе пользователи должны быть всегда
настороже. Особо внимательно стоит относиться к любым ссылкам, пришедшим по
электронной почте, даже если адрес отправителя кажется вполне надежным.
Оставьте Ваш комментарий или мнение о новости: Спамеры научились обманывать фильтры браузера Просим Вас оставлять сообщения по теме и уважать своих собеседников и авторов новостного сообщения.
.gif){kind=small}
.gif){kind=small}
