Total Security - www.totalsecurity.com.br
Fraude usa XSS para “alterar” YouTube e instalar trojan
Um e-mail fraudulento que começou a circular nesta sexta-feira (05/10) tenta explorar uma brecha no site de compartilhamento de vídeos YouTube para alterar a página e apresentar ao usuário uma falsa caixa de download pedindo a instalação de um “objeto ActiveX” para visualizar o vídeo. Usuários que fizeram o download do “ActiveX” instalaram na verdade um cavalo de tróia. O link no e-mail vai direto ao site verdadeiro do YouTube, e a falha é usada para modificar o conteúdo da página que o internauta vê. A Linha Defensiva notificou o Google, que é responsável pelo YouTube, e a brecha foi corrigida em apenas 10 horas, inutilizando o ataque.
O segredo do golpe está no link presente na mensagem de e-mail. O e-mail não é muito impressionante: possui “videos@youtube.com” no campo “De” da mensagem e contém vários erros de português, afirmando que o destinatário foi “mensionado [sic] em algum de nossos videos [sic] mais acessado [sic]”. O link, no entanto, possui uma série de códigos que modificam a página do YouTube para (somente) aqueles que clicarem nele.
A captura de tela mostra o site do YouTube modificado com uma falsa janela de vídeo. É possível perceber, observando-se o fundo, que a página que está sendo acessada não é realmente uma página de vídeo, mas a página de recuperação de nome de usuário. A janela de download apresentada foi criada com imagens e não é uma janela real do Windows.
Este tipo de vulnerabilidade é chamada de XSS, ou Cross Site Scripting. Elas permitem que código seja inserido em um website para aqueles que clicarem em um determinado link. Usando este tipo de falha, criminosos podem modificar uma página para aqueles que clicarem em um link, enganando o internauta e fazendo-o pensar que as informações ou downloads oferecidos pela página pertencem ao site.
Outro uso comum de brechas XSS é o roubo de cookies. Cookies são arquivos armazenados pelo navegador e contém informações como o seu login e seu endereço de e-mail (se você inseriu um comentário em algum site que solicitava seu e-mail e marcou alguma caixa para que o site pudesse “lembrar” de você, por exemplo).
Um cookie só podem ser lido pelo site que o gravou, de modo que as informações estejam acessíveis para outras páginas da web. Em um site que possui uma brecha XSS, um criminoso pode enviar um link a uma vítima e, quando este for clicado, um código será inserido no site visitado para ler o cookie e enviá-lo ao criminoso.
Este tipo de falha foi usada no Orkut mais de uma vez, mas nunca para alterar o conteúdo da página de uma forma tão agressiva como neste caso do YouTube.
Fonte: Linha Defensiva
O segredo do golpe está no link presente na mensagem de e-mail. O e-mail não é muito impressionante: possui “videos@youtube.com” no campo “De” da mensagem e contém vários erros de português, afirmando que o destinatário foi “mensionado [sic] em algum de nossos videos [sic] mais acessado [sic]”. O link, no entanto, possui uma série de códigos que modificam a página do YouTube para (somente) aqueles que clicarem nele.
A captura de tela mostra o site do YouTube modificado com uma falsa janela de vídeo. É possível perceber, observando-se o fundo, que a página que está sendo acessada não é realmente uma página de vídeo, mas a página de recuperação de nome de usuário. A janela de download apresentada foi criada com imagens e não é uma janela real do Windows.
Este tipo de vulnerabilidade é chamada de XSS, ou Cross Site Scripting. Elas permitem que código seja inserido em um website para aqueles que clicarem em um determinado link. Usando este tipo de falha, criminosos podem modificar uma página para aqueles que clicarem em um link, enganando o internauta e fazendo-o pensar que as informações ou downloads oferecidos pela página pertencem ao site.
Outro uso comum de brechas XSS é o roubo de cookies. Cookies são arquivos armazenados pelo navegador e contém informações como o seu login e seu endereço de e-mail (se você inseriu um comentário em algum site que solicitava seu e-mail e marcou alguma caixa para que o site pudesse “lembrar” de você, por exemplo).
Um cookie só podem ser lido pelo site que o gravou, de modo que as informações estejam acessíveis para outras páginas da web. Em um site que possui uma brecha XSS, um criminoso pode enviar um link a uma vítima e, quando este for clicado, um código será inserido no site visitado para ler o cookie e enviá-lo ao criminoso.
Este tipo de falha foi usada no Orkut mais de uma vez, mas nunca para alterar o conteúdo da página de uma forma tão agressiva como neste caso do YouTube.
Fonte: Linha Defensiva
URL Fonte: http://www.totalsecurity.com.br/noticia/2046/visualizar/
Comentários