EBay имеет репутацию менее звездных методов безопасности, и похоже, что в ближайшее время не станет лучше. Недавно выявленная уязвимость в безопасности ставит некоторых пользователей в опасность, и eBay решил выпустить только частичное исправление, а не полное.
Вот что вам нужно знать об уязвимости, как она работает и как оставаться в безопасности.
Мошенничество с активным контентом, XSS и eBay
Особая уязвимость безопасности связана с «активным контентом», который продавцы могут встраивать в свои объявления. Активный контент может использовать множество различных технологий, чтобы сделать описание элемента более интересным или полезным — это может быть небольшое приложение Flash, меню JavaScript, веб-опрос или что-то еще, встроенное и интерактивное. В приведенном ниже объявлении это скрипт под названием «xsellgalleryscript», который пытается заставить вас покупать другие товары у продавца.
В большинстве случаев активный контент абсолютно безопасен. Это немного раздражает, но безопасно. Однако с межсайтовым скриптингом (XSS)
скрипт, размещенный на другом сайте, может быть загружен на страницу eBay, и этот скрипт может быть чем угодно — он может загружать вредоносные программы, пытаться подделать ваши учетные данные или создавать другие виды беспорядков. Конечно, поскольку эта атака является довольно распространенной, eBay использует фильтры, которые пытаются ее предотвратить.
К сожалению, кто-то нашел выход. Он использует технику под названием JSF * ck, увлекательный способ написания кода JavaScript, используя только шесть символов: [] ()! +. С двумя скобками, двумя круглыми скобками, восклицательным знаком и знаком плюс вы можете создавать и запускать любой код JavaScript.
Это забавное упражнение, как язык программирования Brainf ** k
, Но его также можно использовать, чтобы получить фильтры eBay.
Компания по кибербезопасности под названием Check Point впервые сообщила об этой уязвимости и заявила, что ее можно использовать на настольном сайте или через приложения iOS или Android для загрузки вредоносных программ или перенаправления пользователей на фишинговые страницы, где они могут непреднамеренно выдавать учетные данные пользователя. Вот видео нападения в действии:
Check Point продемонстрировала и сообщила об этой уязвимости eBay в декабре 2015 года, ожидая, что они обновят свое программное обеспечение, чтобы предотвратить эксплойт. По сообщению BBC, в январе eBay сообщил Check Point, что у них нет планов по устранению уязвимости, но что они осуществили частичное исправление в феврале. Почему только частичное исправление? «[Я]
и побудить их завершить оплату через поддельный сервис условного депонирования. И мошенничество сработало — Netcraft поделился скриншотами прошения расстроенного пользователя о помощи после того, как eBay, полиция и его банк сказали, что они не могут ему помочь.
Как защитить себя от уязвимости XSS на eBay
Пока eBay не решает полностью эту проблему, есть вероятность, что вы можете наткнуться на листинг, который мошенник скомпрометировал и подвергает себя риску. Однако есть несколько способов уменьшить риск быть пойманным.
Первое, что вы должны сделать, это убедиться, что вы используете в своем браузере функцию «нажми и играй». В Chrome встроена эта возможность, Firefox имеет популярное расширение NoScript, и пользователи Safari могут установить JS Blocker 5. Это предотвратит загрузку любых сценариев, если вы специально не дадите им разрешение. Вам не нужно загружать их на eBay, но если вы это сделаете, вы можете включить их одним щелчком мыши.
Если вы включите плагины, вам нужно быть очень бдительными, чтобы убедиться, что вы не пользуетесь ими. Всякий раз, когда вы собираетесь нажать на Купить это сейчас, Сделать предложение, или Поставьте ссылку на eBay, убедитесь, что URL в вашем браузере — ebay.com, а не что-то другое. Если у вас фишинг, домен будет отличным от ebay.com.
Если вы используете мобильное приложение eBay, не забудьте дважды проверить URL любой связанной страницы, особенно если она запрашивает у вас информацию для входа на eBay. И не загружайте другие приложения! Приложение eBay не побуждает вас загружать что-то еще. Как говорит Брайан Кребс, один из лучших блогеров по безопасности, в своих 3 «Основных правилах онлайн-безопасности», если вы его не искали, не устанавливайте его!
Кроме того, это стандартная система безопасности на онлайн-рынке. Общайтесь только через сайт, а не через электронную почту, несмотря ни на что. Не нажимайте ссылки в сообщениях электронной почты от eBay, просто перейдите на ebay.com на случай, если письмо пришло от мошенников. Проверьте, безопасны ли ссылки на сайте
прежде чем использовать их. Используйте надежный пароль
и регулярно меняйте его. Все регулярные советы «Берегите себя», которыми мы постоянно пользуемся, также применимы и здесь.
Не попадайтесь на эту мошенническую систему eBay.
Защита от мошенничества на eBay
требует немного бдительности и немного превентивной профилактики. Между использованием браузера или расширения, блокирующего сценарии, отслеживанием подозрительных URL-адресов и отслеживанием странных загрузок или запросов, у вас должно быть все в порядке, даже если eBay не исправит эту уязвимость (что, вероятно, не удастся, по крайней мере, какое-то время). Так что сделайте пару быстрых шагов и вернитесь к экономии денег, делая покупки на eBay
!
Вы ходите по магазинам на eBay? Тебя беспокоит их отсутствие действий в отношении уязвимостей безопасности? Вы реже ходите по магазинам, потому что они плохо отреагировали на сообщение об этой конкретной ошибке? Поделитесь своими мыслями ниже!
Авторы изображения: хакер от Photosani через Shutterstock