BleepingComputer: ряд крупных компаний сканирует порты ПК пользователей. Но этого можно избежать

    imageФото: www.bleepingcomputer.com

    После сообщений о том, что eBay.com сканирует порты на компьютерах посетителей, когда они просматривают сайт, журналисты BleepingComputer решили выяснить, какие еще крупные компании занимаются этим.

    Выяснилось, что многие известные бренды и сайты используют один и тот же скрипт.

    Сканер портов
    Программное средство для поиска хостов сети, в которых открыты нужные порты. Его обычно используют для проверки безопасности сетей. Хакеры могут использовать средство при взломе.

    Так, на eBay.com сканирование портов проводилось с помощью сценария защиты от мошенничества LexisNexis, используемого для обнаружения потенциально взломанных компьютеров, которые совершают мошеннические покупки. При выполнении функции задействован протокол WebSocket для сканирования 14 различных портов TCP на компьютере посетителя. Все эти порты предназначены для удаленного доступа, также перечисляются их идентификаторы и связанные с ними приложения:

    image

    Фото: www.bleepingcomputer.com

    По мнению некоторых ИБ-исследователей, сайты электронной коммерции иногда слишком навязчиво сканирует программы посетителя. Компания DomainTools проверила, какие ими используются сценарии.

    Когда веб-сайты загружают сценарии защиты от мошенничества ThreatMetrix, это происходит с помощью имени хоста online-metrix.net, названного клиентом.

    Например, сайт eBay загружает скрипт ThreatMetrix из src.ebay-us.com, DNS-записи CNAME для h-ebay.online-metrix.net.

    DomainTools смог предоставить список из 387 уникальных имен хостов, которые названы аналогично. В итоге журналисты посетили сайты многих крупных компаний и проверили, сканируют ли компьютеры.

    Аналогичные сценарии, как выяснилось, используют Citibank, TD Bank, Ameriprise, Chick-fil-A, Lendup, BeachBody, Equifax IQ connect, TIAA-CREF, Sky, GumTree и WePay.

    image imageФото: www.bleepingcomputer.com

    Citibank, Ameriprise и TIAA-CREF сразу начинают сканирование при посещении главной страницы сайта.

    TD Bank, Chick-fil-A, Lendup, Equifax IQ connect, Sky, GumTree и WePay сканируют только порты тех посетителей, которые пытались войти в систему.

    Скрипт ThreatMetrix используют Netflix, Target, Walmart, ESPN, Lloyd Bank, HSN, Telecharge, Ticketmaster, TripAdvisor, PaySafeCard и, возможно, даже Microsoft.

    Тем, кто считает такое сканирование чересчур навязчивым и представляющим угрозу для конфиденциальности, можно использовать блокировщик рекламы uBlock Origin в Firefox. Путей решения проблемы в других браузерах пока нет. Вот как сканирование работает в Brave:

    imageФото: www.bleepingcomputer.com

    Ранее выяснилось, что сканирование портов не происходит, если пользователь при посещении сайта использует ПК на Linux.
    См. также:

    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 23

      +1
      Тем, кто считает такое сканирование чересчур навязчивым и представляющим угрозу для конфиденциальности, можно использовать блокировщик рекламы uBlock Origin в Firefox

      По сути, выходит цунцванг. Позволяешь сканировать, — неприятен сам факт анального досмотра.
      Не позволяешь сканировать, — скорее всего получишь высокий риск скор, и потеряешь свое время на уродский поиск велосипедов на картинках. Так что, пока не появится решение для значимого % пользователей (включенная по-умолчанию защита от подобного в попсовых браузерах, или миллионные штрафы), то остается лишь терпеть, или принципиально пользоваться услугами конкурентов.

      И да,
      Например, сайт eBay загружает скрипт ThreatMetrix из src.ebay-us.com, DNS-записи CNAME для h-ebay.online-metrix.net.

      был лучшего мнения о разрабах ebay. Могли бы и полноценный reverse proxy поднять с проверкой трафа, или потребовать разворачивания софта on-premise, или вообще положить у себя js, если он статичен (хотя не факт, — вполне может и отдаваться, например, с разной вшитой id для разных юзеров). Такими костылями мало того, что выдают себя, и, теоретически, позволяют блокировщикам перепроверить реальный домен, и блокировать по нему. Так еще и дают возможность хакерам, взломав сервера threatmetrix, атаковать всех пользователей eBay. Фу!
        +1
        Позволяешь сканировать, — неприятен сам факт анального досмотра.
        Пусть обсканируются.
        image
        +1
        А какой итоговый смысл этого скана? Страница сообщит, что у меня на ПК обнаружены возможно вредоносные инструменты и не пустит? Сообщит и попросит нажать ОК, по которому я принимаю на себя риск? Ещё что-то? Или очередная бигдата ради бигдаты?
          +3
          Сервисы вроде тредметрикса работают по довольно примитивному алгоритму. Если совсем на пальцах, то они проверяют ряд запрограммированных вручную гипотез, за каждую из них начисляя 0 или N баллов (где N должен соответствовать значимости). К примеру, есть открытый RDP, — получи 10 баллов, совпал фингерпринт с мошенником, который ранее был на сайте и сдлелал что-то нехорошее, — получи еще 30 баллов.

          Потом эти баллы просуммируются, и есть определенные усложнения воронки продаж и пороги, при которых они срабатывают. Условно, набралось 50 баллов, — значит будет будет затребовано подтверждение оплаты по СМС (3D secure). Набралось 70, — еще и капчу потребуют ввести. 80, — скажут, что перед покупкой надо бы с оператором по телефону поговорить. Набралось 120, — просто напишут, мол, аккаунт заблокирован, и пиши на деревню дедушке
            0
            И какой информационный выигрыш от такой фичи как «наличие открытых портов»? Сколько денег компания сэкономит владея этой информацией? На сколько будут дороже её товары или услуги если запретить законодательно сканировать порты и больно штрафовать всех кто это не соблюдает?
              +2
              Сколько денег компания сэкономит владея этой информацией?

              Суть ведь предельно проста. Такие мелочи повышают себестоимость фрода. Если сканировать порты, то часть виртуалок, которыми пользуются кардеры, станут неюзабельными для вбивов на сайте, которые сканирует -> кардеры могут мигрировать к конкуренту.
              На сколько будут дороже её товары или услуги

              На 0. Вот реально. Что изменится, — это чуть усложнится флоу покупателя до целевого действия. К примеру, там, где сейчас у 20% запрашивают 3D secure при покупке, начнут запрашивать у 21.3%.

              Сейчас все помешаны на оптимизации воронок, и целенаправленно оставляют дыры для кардеров, чтобы не заставить легитимного юзера ввести лишний код или нажать лишний клик (ведь, по мнению продакт менеджеров, при каждом действии часть легитимных пользователей отваливается). Разумеется, такая стратегия толпами привлекает жуликоватых школьников, которые узнали, что можно «зарабатывать в интернете». После чего это пытаются решить костылями вроде третметрикса, иовейшена, и прочих псевдомагических штуковин.
                0

                Интернет существует на один год. Если такого закона до сих пор не появилось — значит законодатели не считают его нужным.

              0
              Сбербанк на основании этих данных повышает риск-скор, блокирует доступ в кабинет и при звонке оператор выясняет «не используете ли вы на компьютере программы teamviewer/anydesk? если да, то зачем? вы знаете, что они потенциально небезопасные?»
                0

                Создание ботнета не рассматриваете?

                  0
                  Ботнета чего? Банка или ebay? Не так просто из браузера выбраться сейчас.
                    0

                    Представьте, что сканируют не ваш комп, а ваш роутер, формально принадлежащий провайдеру.

                      0
                      Представил. И что? Если роутер смотрит в интернет, его и так может пытаться сканировать кто угодно. Предлагаю развернуть мысль.
                        0

                        Мысль уже была развернута выше и заключается в том, что помимо заумных скорингов (которые использует полтора банка в мире), ваше устройство, смотрящее в интернет, тупо изучают на предмет вербовки в ботнет.
                        Уж не верите ли вы, что мощные ботнеты принадлежат каким-то неизвестным васям пупкиным?

                          0
                          Кому бы они не принадлежали, считать, что за ними могут стоять крупные финансовые организации, я точно не стану без веских тому доказательств. А устройство пусть изучают, кто ж им не даёт? Но вот сайты, с которыми у меня имеется финансовое взаимодействие, зачем-то сканирующие мой комп, меня несколько озадачивают. Благо веткой выше пояснили про скоринг без добавления в микс теорий заговора.
                0
                можно использовать блокировщик рекламы uBlock Origin в Firefox. Путей решения проблемы в других браузерах пока нет.

                То есть, использовать блокировщик рекламы uBlock Origin в других браузерах — не путь?
                  –1
                  То есть то, что плагин для браузера якобы защищает от сканирования, Вас не смущает?
                    +1
                    он позволяет не грузить скрипт. который занимается сканированием. Указано же, что скрипт по вполне себе внешнему адресу лежит.
                  +2
                  Меня напрягает другая проблема: то, что источником соединения является браузер. А значит это соединение по loopback, подсети которого считаются доверенными и чаще всего незакрытыми фаерволом. Говоря проще, получается Firewall piercing.
                  И весь мир пока к этому не готов, имхо.
                    0
                    В Linux с помощью network namespaces браузер прекрасно изолируется с персональным для него loopback-ом.
                    0
                    Тем, кто считает такое сканирование чересчур навязчивым и представляющим угрозу для конфиденциальности, можно использовать блокировщик рекламы uBlock Origin в Firefox. Путей решения проблемы в других браузерах пока нет
                    вот такой бред сильно подрывает доверие к остальному тексту статьи.
                    Такое было бы возможно при двух условиях:
                    1. Сканируемые порты прослушиваются (не сканируются, а именно прослушиваются, сканирование с удалённой стороны как раз проверяет, прослушивается ли порт) самим браузером или его компонентами. Но порты могут прослушиваться (почти) любым ПО, не только браузером
                    2. Плагин (например, uBlock Origin) скрывает прослушивание. Но он предназначен для другого, работает по-другому и, подозреваю, браузер даже не предоставляет соответствующих возможностей для этого (единственное, плагин может полностью предотвратить исполнение того кода (работающего внутри браузера), который иначе бы прослушивал порт)

                    В частности, если по первому пункту работает стороннее ПО, 2 пункт можно не читать, uBlock Origin уж точно ничего общего с Нео не имеет
                      +1
                      Я ошибся.
                      На самом деле, речь о том, что сканирование производится скриптами из браузера посетителя сайта. Я этого не понял и исходил из того, что сканирование происходит из внешних сетей
                      0

                      BleepingComputer: ряд крупных компаний сканирует порты ПК пользователей. Но этого можно избежать, если взять обычный советский...

                        +1
                        я постоянно вижу по логам, что на мой сайт постоянно шлют всякую чушь пытаясь залезть в потенциально слабые места. Я пробивал откуда лезут — приличные организации, например McGill College из Монреаля и т.п. Я порывался написать им, может у них в системе элементарно троян, но подумал что они пусть сами разбираются, мне то что, я же не секретарь туда сюда писать… И это уже годы как происходит.
                        А что на фаерволе роутера в логах — сплошной фейспалм… По скану портов я написал таки письма в те организации, откуда он шел больше года, и они выключили. Ну как выключили: где то откликнулись, где то молча выключили, а где то так и не выключили.

                        Only users with full accounts can post comments. Log in, please.