最近,我收到了一些使用 Yahoo 邮箱(或使用 Yahoo 邮箱的 sbcglobal.net)的朋友发来的随机电子邮件,这些电子邮件没有主题,而且带有一些我不会点击的随机 URL。
起初我以为有人获得了他们的密码,并建议他们更新密码。
我刚刚收到一封电子邮件,发件人上周更改了密码。
这是某种跨站点脚本漏洞吗?有没有办法仅通过接收其中一条消息就能发现问题?
以下是最近一封邮件中的一些标题:
Received: from [999.999.999.999] by web83806.mail.sp1.yahoo.com via HTTP; Wed, 27 Jun 2012 09:23:30 PDT
X-Mailer: YahooMailWebService/0.8.118.349524
Message-ID: <[email protected]>
Date: Wed, 27 Jun 2012 09:23:30 -0700 (PDT)
收到的标头中的黑名单 IP 来自挪威的动态 IP。
因此,我假设该 IP 上的机器能够获取我朋友的 Yahoo Mail cookie 并使用它向她通讯录中的人发送电子邮件。这听起来准确吗?即使有人使用 HTTPS 连接 Yahoo Mail,特制的电子邮件也可能能够提取 cookie 并通过 RPCXML 调用将其发送到其他地方,对吗?
那么,如何保护雅虎邮箱帐户免受此类攻击呢?
更新:我现在已经收到四个人发来的类似邮件。这显然不是孤立事件,雅虎邮箱用户肯定可以采取一些措施来保护自己。
答案1
@tomlogic:我想知道这是否来自 Yahoo 工具栏的“始终登录”部分。通过页面脚本将 https 连接伪装成来自 Yahoo 服务器并不困难,基本上是以安全格式请求用户 ID(尽管如您所指出的,它也可能是会话 cookie,因为 Yahoo 会话的长度现在实际上是不确定的),以便页面根据保存的个人资料知道要提供哪个广告。
我不知道这是否属实,但我会这样做 - 在设置雅虎邮箱(和其他几个“免费”应用程序)时,你必须取消选中很多框,以避免安装那个除了提供雅虎搜索框(谁还会用它?)和新电子邮件通知之外什么都不做的工具栏 - 但也会存储你访问的每个网站和你在未加密的网络表单中输入的所有内容。
我已经回复了 5 个不同的人,他们给我发了这些“无主题且链接到钓鱼网站”的电子邮件,要求他们从另一台计算机或智能手机上更改密码,然后在自己的计算机上重新登录 Yahoo 之前运行防病毒软件以及 MalwareBytes 或 SpyBot 等反间谍软件,并删除 Yahoo 工具栏和相关的 Yahoo 应用程序。无论如何,它们提供了什么附加价值?
答案2
我的雅虎账户也遭遇了同样的问题。感染源于一封指向我无意中点击的网页链接的电子邮件来自我的黑莓手机。为了安全起见,我不得不更改密码、删除黑莓与雅虎电子邮件的连接并删除我的雅虎联系人列表。已向雅虎客户支持部门报告,但他们只提供了标准答案。我没有安装雅虎工具栏。我强烈怀疑攻击者正在利用雅虎帐户基础设施中的某些弱点,可能与黑莓的雅虎 BIS 连接器有关。这似乎不是密码破解尝试,也不是会话劫持。
答案3
这不是跨站点脚本。
您的朋友可能就是其 PC 上的间谍软件的受害者Phishing。infected by spyware互联网 SEA 中有许多类型的间谍软件,它们会窃取用户的密码、信用卡信息、cookie 等重要信息。
此类自动机器人会将自身作为插件或扩展程序安装在浏览器中,然后加载并发布或发送垃圾邮件。
为了安全起见,请经常更新您的浏览器并使用好的间谍软件(Spybot 搜索和摧毁)。