Instalacja wirusa po wejściu na stronę

Cześć,

Obejrzałem sobie ostatnio film o wyłudzaniu pieniędzy (był ostatnio na mikroblogu) w których ktoś podszywa się pod pracownika banku, każe ci zainstalować jakąś aplikację na telefonie do zdalnego dostępu na telefon i potem to już raczej jest z górki. To rozumiem.

Potem zacząłem się zastanawiać i jak sobie pomyślę, to gdzie by nie czytać o bezpieczeństwie, to zawsze jedna z pierwszych zasad to "Nie klikaj w żadne podejrzane linki", bo dostaniesz wirusa.

Tylko to chyba nie jest tak, że taki złośliwy program zainstaluje się, uruchomi i jeszcze pewnie doda do jakiegoś auto-startu sam bez żadnej pomocy ze strony użytkownika. Wygląda mi to raczej na uproszczenie, a może się mylę?

Rozumiem, że po kliknięciu w link może być taka sytuacja, że przekieruje cię do strony phishingowej, gdzie myśląc, że to np. strona banku, sam podasz swoje dane, no tylko, że z czymś takim to ja obie poradzę zamykając przeglądarkę. Bardziej mnie interesuje czy jest opcja, że klikam w link pobiera mi się program sam odpala i robi coś fajnego np. szyfruje dysk, czy kopie bitcoiny i poradzenie sobie z czymś takim nie jest taką trywialną sprawą.

Ja to widzę tak, że jak pobieram jakikolwiek program, to klikam przycisk pobierz. Na pasku przeglądarki wyświetla mi się, że pobiera się plik wcale_nie_wirus.pdf.exe, potem muszę go kliknąć i pewnie jeszcze zatwierdzić okienko, że chcę to uruchomić z prawami administratora. To strasznie dużo kroków jak na coś co ma "samo" zainfekować komputer. A właśnie w tych wszystkich tekstach o bezpieczeństwie trochę tak to brzmi...

Podsumowując: czy jest możliwe (a jeśli tak to jak), że po kliknięciu w link na stronie internetowej na komputer zostanie pobrany i uruchomiony jakiś szkodliwy program, czy to tylko pic na wodę i bardziej przestroga dla ludzi, żeby się nie bawili i przypadkiem sobie czegoś nie zrobili z komputerem?

Zapraszam do podzielenia się swoją wiedzą :)

Mogę się mylić - bo to tylko moja opinia, ale klikanie w linki może być groźne z kilku powodów

1. Link może być targetowany, dlatego nigdy nie klikam linków w spamie albo podejrzanych wiadomościach. Dlaczego? Wyobraź sobie taki link jakas_tam_strona.xyz/superuser?id=abcd. Spamer/atakujący może sprawdzić czy ktokolwiek w dany link kliknął. Link mógł być generowany pod konkretną osobę, tzn ofiara A dostała ciąg abcd, a ofiara B dostała ciąg bcde. Spamerzy dzięki temu mogą wysyłać miliony maili na generowane maile typu "[email protected]"/"[email protected]"/"[email protected]". albo... no ogólnie to taki mailowo-loginowy brute force. Każdy kto kliknie w personalizowany link tym samym potwierdza, że dany mail istnieje i że ofiara reaguje. Na podstawionej stronie atakujący może wyciągnąć więcej danych - niekoniecznie wrażliwych na tym etapie, chociaż Twoje imie np "Podaj swoje imię by potwierdzić tożsamośc" - pomyśli ktoś, że to niegroźne... a te dane już zostaną zebrane i za kilka miesiecy mozesz miec powazniejszy atak.

2. Podatność urządzeń mobilnych, np swego czasu dało się zablokować iphone'y wysyłając na nie jakieś spreparowane smsy z dziwnymi znakami.

3. Podatność oprogramowania (w sumie pkt wyżej to to samo) - np ktos moze miec na telefonie/kompie starą wersję przeglądarki, która ma jakiś poważny błąd związany z bezpieczeństwem, tu już można coś odpalić zdalnie.

4. Część ludzi może mieć domyślnie włączone funkcje, która pozwalają na dużo - nie wiem jak teraz, ale kiedyś windows domyślnie miał włączoną obsługę pulpitu zdalnego.

5. Przytłoczenie użytkownika masą wyskakujących okienek/popupów - może doprowadzić do niechcącego zatwierdzenia komunikatu z przeglądarki/aplikacji.

6. Łudząco podobny komunikat - "Twój antywirus jest nieaktualny, zaloguj się za pomocą FB, aby zaktualizować do wersji premium" - sporo osób nietechnicznych się na to nabierze.

7. Poczytaj o dziurach meltdown i spectre w procesorach - może to już większy hardcore i trudniejsze w wykorzystaniu tej podatności, ale skoro na poziomie procesora można wykonać złośliwy kod - to normalnym systemie operacyjnym też.

8. Skojarzenia aplikacji - moze zauważyłeś, że jak masz skype'a i klikniesz w odpowiedni link na stronie www, to może Ci się uruchomić skype, który jest skojarzony z danym typem linku (link chyba wyglada tak: <a href="skype:<username>?<action>"> Link Text</a>

Pamiętaj też o skali - jeśli na 1000 rozesłanych linków chociaż 5 natrafi na jakąś z ww. podatności - to przestępca odniósł mały sukces.

W skrócie - główną odpowiedzią na Twoje pytanie jest "Tak, samo klikniecie moze do tego doprowadzić, poprzez podatności w oprogramowaniu" - ale to tylko moje zdanie :)

WeaverBird napisał(a):

Tylko to chyba nie jest tak, że taki złośliwy program zainstaluje się, uruchomi i jeszcze pewnie doda do jakiegoś auto-startu sam bez żadnej pomocy ze strony użytkownika. Wygląda mi to raczej na uproszczenie, a może się mylę?

Ogromne uproszczenie. Samo kliknięcie w link może już spowodować problemy. Jeżeli masz starą wersję systemu, przeglądarki, albo pecha i pojawi się jakaś podatność 0-day, to udział użytkownika nie musi być potrzebny. Zdaje się, że kiedyś błąd w dekodowaniu obrazków powodował możliwość przejęcia komputera ofiary po wyświetleniu jpg w przeglądarce.

Rozumiem, że po kliknięciu w link może być taka sytuacja, że przekieruje cię do strony phishingowej, gdzie myśląc, że to np. strona banku, sam podasz swoje dane, no tylko, że z czymś takim to ja obie poradzę zamykając przeglądarkę. Bardziej mnie interesuje czy jest opcja, że klikam w link pobiera mi się program sam odpala i robi coś fajnego np. szyfruje dysk, czy kopie bitcoiny i poradzenie sobie z czymś takim nie jest taką trywialną sprawą.

Nie musisz wejść na stronę phishingową. Jeżeli strona której ufasz ma podatności typu XSS (a jest to raczej dość popularne), to wyłudzenie hasła pomimo prawidłowego adresu, certyfikatu itd. jest możliwe. A to tylko jedna z możliwych podatności. Jeżeli atakujący wykorzysta jakąś znaną lukę w przeglądarce, to możesz dostać prezent, nawet o tym nie wiedząc.

Ja to widzę tak, że jak pobieram jakikolwiek program, to klikam przycisk pobierz. Na pasku przeglądarki wyświetla mi się, że pobiera się plik wcale_nie_wirus.pdf.exe, potem muszę go kliknąć i pewnie jeszcze zatwierdzić okienko, że chcę to uruchomić z prawami administratora. To strasznie dużo kroków jak na coś co ma "samo" zainfekować komputer. A właśnie w tych wszystkich tekstach o bezpieczeństwie trochę tak to brzmi...

Za parę dolców możesz wysłać milion maili, reszta to kwestia statystyki. Kogoś się trafi, statystyka. Nawet zakładając prymitywną formę ataku, to ileś tam % ludzi kliknie, żeby odebrać komplet ganków.

Podsumowując: czy jest możliwe (a jeśli tak to jak), że po kliknięciu w link na stronie internetowej na komputer zostanie pobrany i uruchomiony jakiś szkodliwy program, czy to tylko pic na wodę i bardziej przestroga dla ludzi, żeby się nie bawili i przypadkiem sobie czegoś nie zrobili z komputerem?

Wszystko co robisz na komputerze jest związane z ryzykiem. Każdy zainstalowany program, to potencjalnie kolejna luka w bezpieczeństwie. Jesteś podłączony do sieci, jesteś narażony.

piotrpo napisał(a):

WeaverBird napisał(a):

Tylko to chyba nie jest tak, że taki złośliwy program zainstaluje się, uruchomi i jeszcze pewnie doda do jakiegoś auto-startu sam bez żadnej pomocy ze strony użytkownika. Wygląda mi to raczej na uproszczenie, a może się mylę?

Ogromne uproszczenie. Samo kliknięcie w link może już spowodować problemy. Jeżeli masz starą wersję systemu, przeglądarki, albo pecha i pojawi się jakaś podatność 0-day, to udział użytkownika nie musi być potrzebny. Zdaje się, że kiedyś błąd w dekodowaniu obrazków powodował możliwość przejęcia komputera ofiary po wyświetleniu jpg w przeglądarce.

Błąd był w powszechnie wykorzystywanej, windowsowej bibliotece do obsługi JPG, więc możliwość wykonania kodu była po otworzeniu go w jakimkolwiek programie. Z podobnych przypadków w programie do usuwania systemu antypirackiego Sony nie było sprawdzania domeny przy ściąganiu aktualizacji, więc starczyło wejść na odpowiednio spreparowaną stronę żeby wyżej wymieniony grzecznie ściągnął i wykonał dowolny kod bez pytania użytkownika o cokolwiek. Autorem tego usuwacza było samo Sony. Tak więc nie znasz dnia ani dziury

Generalnie tego typu infekcje występują w 2 przypadkach:

1. nakłonienie użytkownika do zrobienia czegoś głupiego (np instalacja podsuniętego przez złodzieja programu), starczy zachować zdrowy rozsądek i nie ufać nikomu kto dzwoni do ciebie (nawet jak z wyświetli się numer banku czy innej zaufanej instytucji, takowy można sfałszować)
2. bug w programie, tu potrzebny będzie antywirus i trochę szczęścia. Na szczęście dość rzadkie przypadki, bo obecnie developerzy płacą za zgłaszanie im takowych w ramach tzw "bug bounty"

Jak już wyżej było wspomniane, podatności w oprogramowaniu mogą sprawić że zainstaluje ci się coś bez twojej wiedzy. Polecam dobry talk z CCC:

Oprócz tego są inne ciekawe rzeczy które można zrobić jak klikniesz w link. Bo cokolwiek przeglądarka robi, robi to "w twoim imieniu". Jak wchodzisz na stronę X i ona ma jakieś JSy, to wszystko dzieje się z twojego komputera. Taki JS moze np. wysłać gdzieś requesty HTTP i jeśli jakaś strona nie ma zabezpieczenia przed CSRF a ty jesteś na tej stronie zalogowany, to można będzie wykonać coś w twoim imieniu, np. napisać post na 4programmers jako ty.
Idąc dalej, jeśli jesteś za VPNem (np. w pracy) to twoja przeglądarka jest wewnątrz tego VPNa! To oznacza że JS mógłby wysłać request na jakieś 192.168.0.123 gdzie stoi jakaś firmowa wewnętrzna aplikacja. I nie, single origin policy cię nie uratuje, bo link w który kliknąłeś może korzystać z ataku DNS rebinding.