¿Cómo puede una computadora visitar una página web?

17

La computadora de mi madre se infectó recientemente con algún tipo de rootkit. Todo comenzó cuando recibió un correo electrónico de un amigo cercano pidiéndole que revisara algún tipo de página web. Nunca lo vi, pero mi madre dijo que era solo un blog de algún tipo, nada interesante.

Unos días después, mi madre inició sesión en la página de inicio de PayPal. PayPal proporcionó algún tipo de aviso de seguridad que indicaba que para evitar el fraude, necesitaban información personal adicional. Entre algunas de las informaciones más normales (nombre, dirección, etc.), ¡le pidieron su SSN y PIN bancario! Ella se negó a enviar esa información y se quejó a PayPal de que no deberían solicitarla.

PayPal dijo que nunca pedirían esa información y que no era su página web. No hubo tal "aviso de seguridad" cuando se conectó desde una computadora diferente, solo desde la suya. No fue un intento de phishing o redirección de algún tipo, IE claramente mostró una conexión SSL a https://www.paypal.com/

Recordó ese extraño correo electrónico y le preguntó a su amiga al respecto: ¡el amigo nunca lo envió!

Obviamente, algo en su computadora estaba interceptando la página de inicio de PayPal y ese correo electrónico fue lo único extraño que sucedió recientemente. Ella me confió que arreglara todo. Saqué la computadora de la órbita, ya que era la única forma de estar segura (es decir, reformateé su disco duro e hice una instalación limpia). Eso pareció funcionar bien.

Pero eso me hizo preguntarme ... mi madre no descargó ni ejecutó nada. No se estaban ejecutando controles ActiveX extraños (no es analfabeta informática y sabe que no debe instalarlos), y solo usa el correo web (es decir, no tiene vulnerabilidad de Outlook). Cuando pienso en páginas web, pienso en la presentación de contenido: JavaScript, HTML y quizás algo de Flash.

¿Cómo podría eso instalar y ejecutar software arbitrario en su computadora? Parece un poco raro / estúpido que existan tales vulnerabilidades.

Cybis
fuente
Probablemente usando un reproductor flash desactualizado, creo que había una vulnerabilidad en una versión reciente que permitiría este tipo de cosas.
1
Posible duplicado: superuser.com/questions/106809/...
Hello71

Respuestas:

7

Si está usando una versión desactualizada de IE (o Firefox), entonces hay vulnerabilidades bien conocidas en el navegador. Sí, es un poco extraño / estúpido, pero escribir un software perfecto es muy muy muy muy difícil.

Probablemente haya vulnerabilidades desconocidas / no reveladas en las versiones actuales de los navegadores web (así como en cualquier otra pieza de software)

kibibu
fuente
Sé que escribir software perfecto es muy difícil. Pero esto solo parece una vulnerabilidad extraña. Casi como si un archivo jpg creado con fines malintencionados pudiera explotar una falla en Photoshop, instalando así un virus. Simplemente no tiene sentido que los datos de imagen (o, en este caso, html / javascript) puedan tener algo que ver con el acceso al sistema de archivos de su máquina.
1
Tiene mucho que ver con acceder al sistema de archivos. TODO está almacenado en caché y procesado localmente.
John T
3

Estoy bastante convencido de que flash tiene algunas vulnerabilidades. He sido infectado por sitios web que visité usando Firefox y estoy seguro de que no instalé nada.

Spencer Ruport
fuente
¡Otra razón para odiar el flash!
alex
0

Mire los ataques de cross-site scripting (XSS) - wikipedia ref .

También podría ser un ejecutable de malware en un archivo adjunto de correo que se lanzó.
Pero, dado que describe ir a un sitio, un exploit del sitio referido probablemente sea el culpable.

Si hace clic en los enlaces de su buzón mientras está conectado a Internet,
todas las vulnerabilidades de su navegador están expuestas a los sitios a los que llega. Al menos debe mantener su máquina parcheada (si el sistema operativo aún es compatible) e instalar un antivirus (sí, eso provocará una gran conversación aquí).

Pero, en gran medida, sería aprender a no hacer clic en ningún enlace desconocido o abrir archivos adjuntos inesperados que mantendrán su sistema más seguro .

¿No debería migrar esta pregunta a SuperUser ?


El archivo host de Windows se puede modificar para que el sistema siempre se desvíe (incluso después de un reinicio).
Aquí hay un ataque más evolucionado que usa estas cosas: cómo el malware expande una red de phishing .
Si usa cosas como Spybot Search & Destroy . Seguirá revisando su archivo de hosts en busca de daños.

nik
fuente
Soy plenamente consciente de los ataques XSS, pero ese no fue el caso. Puede reiniciar la computadora e inmediatamente navegar a PayPal, y aún así obtener la misma página falsa. Por supuesto, hizo clic en el enlace mientras estaba conectada: no usa un programa de cliente de correo electrónico, usa una aplicación web a través de su navegador. Estaba usando IE8 + WinXp SP3, con todos excepto quizás las actualizaciones más recientes.
No entiendo el consejo "aprende a no hacer clic en ningún enlace desconocido ..." Cuando haces una búsqueda en Google, ¿ignoras todos los sitios web que nunca has visitado antes? Además, dije que no es analfabeta informática. Ella sabe que no debe abrir archivos adjuntos extraños (por supuesto, si el correo electrónico proviene de un amigo o familiar cercano, ¿seguirá siendo tan escéptico? ¿Siempre
¿Y qué es SuperUser? ¿Otro sitio de tipo stackoverflow? Esto está relacionado con la programación, por ejemplo, qué relación podría tener JavaScript con el sistema de archivos de una máquina.
1
Ok, por favor no lo tomes mal, no estoy siendo cínico de ninguna manera. Estoy de acuerdo en que esta es una programación cercana, pero se adapta más al sitio SuperUser.com desde este mismo foro, ya que implica una interacción del usuario en lugar de una solución de programación.
nik
1
Sobre "aprender a no hacer clic en ningún enlace desconocido" y puntos relacionados. Entiendo que es difícil hacer que el usuario casual esté más alerta sobre tales cosas ... y supongo que ya está trabajando en eso. Pero, tenga en cuenta que un enlace desconocido no es tan simple como un resultado de búsqueda de Google (que en realidad es un mal ejemplo, ya que Google realiza una cierta comprobación de phishing en sus propios resultados de búsqueda). No es necesario que llame a alguien cada vez que recibe un reenvío ... pero, debe elaborarse una mejor estrategia.
nik
0

Este tipo de explotación solo es peligroso si ejecuta su navegador con derechos de administrador.

Dentrasi
fuente
0

IE no es en absoluto un navegador seguro, pero una página web no debería poder infectar una computadora, a menos que esté explotando algunos agujeros de seguridad bastante grandes en los complementos y / o características adicionales del navegador.

Para estar lo más seguro posible, use un navegador web (como Google Chrome) que muestre páginas web en un entorno limitado, un entorno virtual, que evitará que el código malicioso llegue a su computadora. Además, Chrome se pone en contacto con una base de datos de sitios web maliciosos y muestra una advertencia antes de cargarlos, solo para asegurarse.

Escribir complementos y complementos para navegadores siempre implicará un equilibrio de poder versus seguridad, alguien simplemente le dio demasiado poder al complemento. (Estoy apostando a su Java)

Ryan
fuente
-1

Me inclino a creer que lo que experimentó fue el resultado de un complemento desactualizado como Flash o Java. A menos que tenga una necesidad real de Java en el sistema, elimínelo. Y siempre trate de mantenerse al día con los instaladores. Realmente, si la seguridad es un problema, les diría que usen Linux. Eso tiene un actualizador mucho mejor. Alternativamente, podría ser que haya un exploit dentro del navegador. IE8 es un navegador antiguo que está lleno de agujeros de seguridad. Use Chrome, Opera o Firefox, todos son kilómetros más modernos y más seguros. Además, el hecho de que esté usando XP significa que el sistema no tiene absolutamente ningún concepto de permisos. No hay sudo y root, ni UAC. Los sistemas operativos Windows más modernos como 7 y 8 tienen UAC, que si bien no está a la altura de sudo + apparmor / SELinux en Linux, sigue siendo mucho mejor que nada.

Solo para limpiar una confusión, un sitio puede infectar su computadora sin complementos. A saber, JavaScript. Aunque los navegadores modernos sandbox JavaScript, por lo que solo puede realizar operaciones de archivo en / tmp, JavaScript aún puede aprovechar las vulnerabilidades reales dentro del navegador. En algunos casos, esto puede incluso ser exploits en navegadores parcheados (comúnmente conocido como exploit de 0 días) aunque tales incidentes son raros.

00112358123
fuente