Du må være registrert og logget inn for å kunne legge ut innlegg på freak.no
X
LOGG INN
... eller du kan registrere deg nå
Dette nettstedet er avhengig av annonseinntekter for å holde driften og videre utvikling igang. Vi liker ikke reklame heller, men alternativene er ikke mange. Vær snill å vurder å slå av annonseblokkering, eller å abonnere på en reklamefri utgave av nettstedet.
  19 8660
nso
popålol
nso's Avatar
Administrator
Drive-by pharming er ein heilt ny type angrep, som bygger på moderne nettlesarar sine javascript-ferdigheter, og det faktum at få heimebrukarar endrar IP, brukarnamn eller passord på routeren sin.

Prosessen er forbausande enkel.
Ved å besøke ei ondsinna side, med ein nettlesar som støtter JavaScript (JS), så vil den sida kjøre en forespørsel frå nettlesaren din, til routeren din. Sidan få skiftar passord/brukarnamn, så vil ofte den ondsinna nettsida ha full tilgang til routeren din.

Neste steg i det foreslåtte angrepet er å skifte DNS-server til ein server som er kontrollert av blackhats. DNS-serveren er serveren som gjer domenenamnet, t.d freakforum.nu, om frå menneskeleseleg form, til ei maskinadresse (IP).

Når ein først har tatt i bruk ein ondsinna DNS-server så er slaget om phishing tapt. Då kan eigaren av dnsserveren bare fortelle nettleseren din at ja, dnbnor.no har faktisk IPen 127.0.0.1. Eller IP'en til ei phishing-side. Og du kan ikkje oppdage det via tradisjonelle anti-phishing metoder, fordi DNS-navnet stemmer med banken sitt. Så potensielt så er dette ekstremt kraftig versjon av phishing-fenomenet, fordi det er nok at du besøker ei ondsinna side. Deretter vil alle forsøk på å nå t.d dnbnor.no eller myspace.com bli viaresendt til pharmeren.

Kjelder:
Oliver Friedrichs, 15. feb 2007 @ Full Disclosure
Ojda, stadig nye svindelforsøk ute å går.
Takk for advarselen.
Men er det nok å bare deaktivere JavaScript i nettleseren(hvis man ikke har mulighet til å endre brukernavn og passord på routeren)for å ungå slike angrep?
Sitat av vidarlo
Ved å besøke ei ondsinna side, med ein nettlesar som støtter JavaScript (JS)
Vis hele sitatet...
Ondsinna side=pornosider?
Hva er foresten sjansen for at en amerikansk ondsinnet side har f.eks dnbnor.no i sine lister + en troverdig kopi av dnbnor sine sider?
Ville jo stusset hvis banken min som hadde hatt norske sider i årevis plutslig kun hadde sider på engelsk.
Hvis den var full av norsk à la freetranslation.com eller dag og måned var byttet om(som i usa)ville jeg også vært skeptisk.
A Real Human Bean
Mullah's Avatar
Donor
Og dette er i et vidspredt fenomen? Arbeidet som er lagt inn i noe slikt må jo være enormt!

Det er bare det at det slår meg at et slik nettverk er helt åpent for hvem som helst å hente ut den informasjonen man vil fra. Hva hindrer myndigheter i å gripe inn og stenge ned slike servere? Med tanken på det må man jo kunne fastslå at å ivareta et slik pirat-nettverk, om man kan kalle det det, forteller om en organisering langt utover evnen til et enkelt individ!

Er det ikke mer sannsynlig at det bare er f.eks en gruppe russiske blackhats som arbeider for russisk mafia som står bak dette, også stopper det der?

Henriken: Slå av JavaScript er en ide. Å ha et skikkelig passord på routeren er en enda bedre ide.
Sitat av Henriken
Ondsinna side=pornosider?
Vis hele sitatet...
Nei, en side angriperen setter opp selv. Gjerne en klone av den egentlige siden så man kan få servert logindata i klartekst.
Paypal er vel et greiere eksempel enn dnb, mange i hele verden som bruker det.
Jeg digger det allerede.
Skru på passord promting på routeren din når du skal aksessere den. Så er problemet løst. Problemet eksisterer kun når det er direkte tilgang til routeren fra innsiden av nettverket.

Har jo vært en del store DNS-servere som har fått DNS-oppslag spoofet. Vil si at det er enda farligere. Tenk hvis DNS-serverene til Telenor fikk spoofet oppslaget til dnbnor.no!
Sitat av ulldott
Jeg digger det allerede.
Vis hele sitatet...
Det er ingenting du noengang kommer til å få bruk for, hvis du ikke er en storsvindler (og faktisk har litt peiling). Dette er veldig dårlige nyheter og jeg regner med at mange kommer til å tape mye penger på dette fremover, beklaligvis.
Trigonoceps occipita
vidarlo's Avatar
Donor
Det er veldig dårlige nyheter som få av oss vanlige dødelige vil kunne utnytte. Du må ha oversikt over en del typer routere, vanlige passord, samt at du må kunne javascript og ha ei side som er mykje besøkt (i.e nok besøkt til at du får lurt meir enn en person...).

Men å sette passord sjølv på routeren funker 100%
A Real Human Bean
Mullah's Avatar
Donor
Sitat av vidarlo
og ha ei side som er mykje besøkt (i.e nok besøkt til at du får lurt meir enn en person...).
Vis hele sitatet...
Eller ha flere sider med dette scriptet i seg som personer med malware blir henvist til. Det er jo ingen stor sak, og folk med malware er gjerne dette scripters målgruppe anyway.
Trigonoceps occipita
vidarlo's Avatar
Donor
Målgruppa er stortsett dei som har malware ja. Grunen til det er såre enkel: dette angrepet funker kun dersom du er idiot nok til å ikkje skifte passord på enheter. Dei som skifter passord er stortsett såpass oppegåande at dei ikkje har malware uansett.
Hvis det skulle bli noe stort problem så tar det de store ISPene i Norge noen minutter å låse ned alle routerene på deres nettverk og så sende ut en epost med det nye passordet. Tror egentlig ikke dette kommer til å bli noe spesielt problem.

Det kan faktisk være med på å øke sikkerheten by default. Alle brukere kan f.eks. bli promptet med at de må skifte passord første gang de kobler opp til Internett. Finnes mange løsninger.
Trigonoceps occipita
vidarlo's Avatar
Donor
Sitat av Deezire
Hvis det skulle bli noe stort problem så tar det de store ISPene i Norge noen minutter å låse ned alle routerene på deres nettverk og så sende ut en epost med det nye passordet. Tror egentlig ikke dette kommer til å bli noe spesielt problem.

Det kan faktisk være med på å øke sikkerheten by default. Alle brukere kan f.eks. bli promptet med at de må skifte passord første gang de kobler opp til Internett. Finnes mange løsninger.
Vis hele sitatet...
Finst mange løsninger, men per dags dato er t.d defaultoppsettet til telenor blankt passord.

Anna enkel workaround for ISP'er er å redirecte all DNS-trafikk mot sin egen dns-server.

Problemet er at det vil ta tid å innføre sikkerhetstiltak, og i det vinduet vil det vere mulig å utnytte det.

T.d telenor kan *ikkje* oppgradere rutere afaik. NGT kan... Veit ikkje korleis det stiller seg med andre norske ISP'er.
Altså, jeg ser hvordan dette skal fungere forsåvidt. Menne XMLHttpObject() som man bruker i JavaScript skal i "teorien" bare gjøre spørringer mot samme domene. Altså, har du en (sikker) nettleser så skal du ikke ha mulighet til å gjøre spørringer mot andre domener enn det der scriptet ble startet fra. Og, en annen ting i praksis er jo dette et svindelforsøk som er et h**lvete å gjennomføre. Jeg regner med det er omtrent 100 ganger lettere å bare robbe en person på gata.
Problemet er at det er millioner av folk som ikke oppdaterer og har nettlesere fulle av sikkerhetshull.
Får man først til noe som dette er det mye lettere enn å rane 10000 folk på gata.

Tingen med slike angrep er at det foregår i en enorm skala.
Goophy: Penger er sporbare, hva skulle du gjøre? Logge inn på nettbanken og overføre pengene til din konto?
eirik: Merk at jeg heller foreslå paypal i det andre innlegget mitt.
Har du sett noen av sakene der penger har blitt borte i det systemet skjønner du fort at det er mulig.
De bryr seg null om slikt, og har det gått over en måned siden pengene forsvant kan du bare glemme å få de igjen.

Fra paypal kan du jo også spille vekk pengene til en bekjent i nettpoker feks.
Mange muligheter.
Jeg vil nå påstå at hvis det var snakk om millioner, for ikke å snakke om milliarder så ville nok også paypal måtte knele. Uansett overvåker jo alle bankene i Norge alle transaksjoner over 10k manuelt.
Det gjør de nok.
Får se om noen faktisk kommer til å prøve seg på dette.

Feiler det hører vi garantert om det.
Det at det finnes lister som dette gjør det jo endel lettere http://www.phenoelit.de/dpl/dpl.html

Og det faktum at flesteparten av databrukere får ikke til å skifte passord på routeren sin. Jeg prøvde faktisk å lære onkelen min å bruke torrents, men jeg måtte skrive en detaljert liste for at han skulle få det til selv!
▼ ... over et år senere ... ▼
Er jo ikke bare phishing problemer som oppstår her, det kan tukles med alt fra dmz, port forwarding, fw-regler osv, som gjør at angriper på en lett måte får tilgang til interne maskiner. Stort sett alle har jo enablet JS uansett, da det er hyppig brukt. Beste måten å beskytte seg på er som det ble sagt å skifte passord på ruter og være skeptisk til hvilke linker man besøker.