Dodaj do ulubionych

Internetowe szpiegostwo, przykład metody XSS

02.06.19, 13:01
Pisałem na tym forum już o szpiegostwie i inwigilacji ludzi poprzez internet
codziennym łamaniu prywatności, braku bezpieczeństwa naszych prywatnych danych.

Użytkownicy internetu są narażeni w dzisiejszych czasach na zalew reklam na stronach, portalach internetowych , na szpiegostwo, tropienie swych poczynań w internecie oraz na samowolę wielu portali internetowych , które na ich komputerach bez ich wiedzy i zgody instalują oprogramowanie reklamowe, niechciane programy a także instalują nam nierzadko szpiegowskie złośliwe oprogramowanie, wirusy szpiegowskie, konie trojańskie . Często strony internetowe wymuszają na nas zmianę ustawień naszej przeglądarki internetowej, usuwanie zabezpieczeń, blokady reklam a także wymuszają wyrażenie zgody na obrót naszymi danymi osobowymi, na używanie naszych danych do celów marketingowych, na przysyłanie nam reklam. Internet jest też platformą działania oszustów, złodziei.

Mamy prawo do własnego konfigurowania przeglądarki internetowej , możemy dla bezpieczeństwa włączyć tzw. okna prywatne, możemy ograniczyć lub zabronić zapisywanie ciasteczek ( cookies ) na naszym komputerze i mamy prawo wymagać od stron internetowych respektowania ustawień naszej przeglądarki. Niestety nie wszystkie strony, portale chcą respektować nasze ustawienia i nie działają prawidłowo chcąc wymusić na nas zmianę ustawień w celach szpiegowskich i reklamowych. Sporo stron internetowych widząc, że nie może nas szpiegować wskutek naszego oprogramowania antyszpiegowskiego ucieka się do metod szpiegowskich hackerskich, przestępczych. Wiele portali internetowych stosuje hackerską metodę szpiegostwa i przechwytywania informacji ,metodę zwaną  XSS czyli cross-site scripting.

W maju bieżącego roku ( 2019) spotkałem się z próbami szpiegowania mnie metodą XSS ( już nie po raz pierwszy podczas pracy w internecie) na portalu yahoo.com przy próbie logowania do mojego konta pocztowego. Jest okazja, aby pokazać na tym przykładzie jeden ze sposobów inicjonowania metody XSS w celu szpiegowania, inwigilacji, przechwytywania prywatnych informacji, czytania naszej poczty itp.
Wykonałem trzy zrzuty ekranu tzw. printscreeny pokazujące trzy fazy inicjowania hackerskiej, przestępczej metody XSS.
Przedstawiany przypadek bazuje na wyświetleniu przy logowaniu komunikatu o sprawdzaniu czy nie jesteśmy robotem, pojawia się więc okno z obrazkami spośród których to obrazków mamy wybrać te , które zawierają podane obiekty np. samochody, czy światła uliczne. ( Caphta ). Te w sumie głupie obrazkowe łamigłówki stosuje wiele stron internetowych do sprawdzania czy użytkownik nie jest robotem. Pojawiają się te obrazki przy logowaniu, wysyłaniu wiadomości, zamieszczaniu postów na forach dyskusyjnych i też korzystaniu z innych funkcji jakie oferują strony, portale internetowe. Po prawidłowym rozwiązaniu łamigłówki obrazkowej dana funkcja strony internetowej powinna się uaktywnić bez żadnych dodatkowych warunków,
haseł a w szczególności kodów do przepisania. Jeżeli strona po rozwiązaniu układanki obrazkowej podaje nam jakiś dłuższy kod do skopiowania i wstawienia we wskazane okienko to jest to zwykle próba podłożenia naszej przeglądarce internetowej złośliwego kodu , który uaktywni działanie metody XSS. Szpiegujący, który podłożył ten kod uzyskuje dostęp do naszego otwartego konta pocztowego, czy bankowego, konta na forum dyskusyjnym czy konta na portalu handlowym np. Allegro bez znajomości hasła.

Załączone w galerii zdjęć tego forum trzy zrzuty ekranu prscr1.jpg, prscr2 i prscr3 czyli printscreeny przedstawiają jak to wygląda. Prscr1 przedstawia układankę obrazkową do rozwiązania przy logowaniu się do konta pocztowego na yahoo.com, po prawidłowym rozwiązaniu powinno się przejść ( po podaniu loginu i hasła ) bezpośrednio już do konta pocztowego, do swoich emaili. Jednak po rozwiąznaiu obrazków pojawia się komunikat przedstawiony na zrzucie ekranu prscr2. Pojawia się komunikat , że należy skopiować kod podany w górnym okienku i wpisać go, wstawić do dolnego okienka. Tego jednak nie powinno być!! Jeśli wykonamy polecenie kopiowania i wstawiania kodu to uaktywni się XSS! Trzeci printsreen prscr3 pokazuje co się stało po skopiowaniu i wpisaniu podanego kodu. Program antyszpiegowski i blokujący wykonywanie skryptów NoScriptSuite na górze ekranu na żółtym pasku podaje komunikat o wykryciu próby szpiegowania metodą XSS.
Polecam stosowanie zabezpieczeń antyszpiegowskich, szczególnie programu NoScriptSuite a także programu blokującego szpiegów , tropicieli Ghostery oraz programu antyreklamowego Adblock.
Edytor zaawansowany

Popularne wątki

Nie pamiętasz hasła

lub ?

 

Nie masz jeszcze konta? Zarejestruj się

Nakarm Pajacyka
Agora S.A. - wydawca portalu Gazeta.pl nie ponosi odpowiedzialności za treść wypowiedzi zamieszczanych przez użytkowników Forum. Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną. Regulamin.