Сайт eBay сканирует сетевые порты ПК у Windows-пользователей на наличие программ удаленного доступа


    Специалисты портала Null Sweep в конце мая 2020 года заметили странную сетевую активность компонентов сайта eBay. Оказалось, что с помощью специального скрипта там проводится сканирование сетевых портов ПК пользователей на наличие программ удаленного доступа. На самой площадке пояснили, что это делается для безопасности пользователей.

    Эксперты издания Bleeping Computer подтвердили, что сайт eBay действительно проводит скрытое сканирование с помощью скрипта check.js, которое запускается при каждом посещении ресурса.

    td_3Y=['REF:63333','VNC:5900','VNC:5901','VNC:5902','VNC:5903','RDP:3389','ARO:5950','AMY:5931','TV0:5939','TV1:6039','TV2:5944','TV2:6040','APC:5279','ANY:7070'];

    Скрипт check.js, используя WebSocket для подключения к 127.0.0.1 через заданный порт, сканирует 14 портов на ПК:

    • 5900: VNC;
    • 5901: VNC port 2;
    • 5902: VNC port 3;
    • 5903: VNC port 4;
    • 5279: Anyplace Control;
    • 3389: Windows remote desktop / RDP (Remote Desktop Protocol);
    • 5931: Ammy Admin remote desktop (Ammyy Admin);
    • 5939: TeamViewer;
    • 5944: TeamViewer;
    • 5950: WinVNC (Aeroadmin);
    • 6039: TeamViewer;
    • 6040: TeamViewer;
    • 63333: TrippLite power alert UPS;
    • 7070: AnyDesk.

    Многие из сканируемых выше сетевых портов используются популярными инструментами для удаленного управления рабочими столами пользователей, например, Windows Remote Desktop, VNC, TeamViewer, Ammyy Admin и другие.

    Вдобавок оказалось, что сканирование портов скриптом check.js не происходит, если пользователь при посещении сайта eBay использует ПК на Linux.

    Джек Рисайдер (Jack Rhysider), создатель Darknet Diaries, пояснил, что у процедуры сканирования портов на сайте eBay есть определенные цели. И это скорее всего делается с целью доставки рекламы, для снятия отпечатков пользовательских ПК (фингерпринтинга) или защиты от мошенничества.

    Вдобавок Рисайдер пояснил, что сканирование делается в браузере, поэтому брандмауэры\файрволы пользователя не могут этот процесс заблокировать. А сам факт проведения такого сканирования можно расценивать как злонамеренное поведение со стороны сайта и может не соответствовать требованиям локальных законов пользователей.


    Пользователь Nemec понял, что на eBay также шифруют результаты сканирования и передают его на свои серверы в GET-запросе к png. Он выложил на gist.github.com скрипт для расшифровки этих данных.


    Издание Bleeping Computer смогло получить ответ от eBay по этой ситуации со сканированием. Официальные представители eBay воздержались от комментариев, но пояснили, что «конфиденциальность и сохранение данных клиентов остаются их первоочередной задачей, поэтому они стремятся создать на своем сайте для этого удобную и надежную систему».

    Другие сайты также проводят скрытое сканирование портов пользователей. Например, эту процедуру часто проводят банковские сервисы. В 2018 году это делал сайт банка Halifax Bank. В 2019 году сканер портов был зафиксирован в личном кабинете Ростелекома. Тогда пресс-служба Ростелекома сообщила, что скрипт используется как «антифрод-система для предотвращения онлайн-мошенничества» путем анализа пользовательской сессии.

    Ранее в 2016 году издание Bleeping Computer опубликовало информацию о том, что злоумышленники с помощью TeamViewer перехватывали управление над ПК пользователей и совершали большое количество мошеннических операций на eBay и Amazon. Тогда даже был даже создан специальный портал с таблицей для отслеживания таким мошеннических схем.

    Комментарии 41

      +7
      Хоть в чем-то мы впереди запада:
        0
        Читал статью, испытывал какое-то дежа вю, где-то это я уже видел. И точно, у Ростелекома :)
        +1

        Поэтому необходимо использовать блокировщики, например, uMatrix, который по-умолчанию блокирует все 3rd-party скрипты. Или uBlock Origin.


        По дополнениям рекомендую ознакомиться с такими материалами:


          +9
          1. Это ж сам сайт сканирует, а не 3rd-party.
          2. Сейчас многие загружают js c 3rd-party cdn.
          3. Без js современной сайт скорее всего не будет работать
          4. Во имя privacy вы рекомендуете устанавливать в браузер плагины, которые будут иметь доступ ко всему контенту всех посещаемых вами сайтов?
          • НЛО прилетело и опубликовало эту надпись здесь
              +1
              Какие вы собственно предлагаете альтернативы? Не пользоваться блокировщиками рекламы?
              Блокировщики бывают разные, я пользуюсь теми, которые не имеют доступа к контенту — это блокировка контента в браузере и подмена адресов, когда все запросы к рекламным сетям идут в 0.0.0.0
              Но ведь браузер тоже имеет доступ ко всему контенту. Что делать если в нём закладка?
              Просто не пользуйтесь Google Chrome :)
              Или вы надеетесь, что закладка в плагине нейтрализует закладку в браузере?
              • НЛО прилетело и опубликовало эту надпись здесь
                  0

                  С чего вы решили, что я безоговорочно доверяю браузеру?
                  Вы проверяете исходный код расширений перед установкой и каждым обновлением?

              +1
              1. По выводу из консоли видно, что идёт GET запрос https://127.0.0.1: порт. Для uMatrix это будет выглядеть как запрос не на ebay.com, а на 127.0.0.1, поэтому он отнесёт его к 3rd-party и заблокирует. В качестве примера скриншот uMatrix из ЛК Ростелекома, история про который приведена в первом комментарии.
              2. Значит эти скрипты будут блокироваться, если блокировщик так настроен. Потребуется добавлять исключения. Это всего лишь вопрос удобства пользования.
              3. Верно.
              4. Я нигде не говорил про приватность.
                0

                Понял, спасибо. Придётся добавлять очень много исключений.

                +1

                umatrix блокирует обращения к third party. Нестандартные порты на машине пользователя будут таковыми.


                … Интересно, а как они сканируют? Тупо http запросами или добрые браузеростроители дали возможность браузеру подключаться к любому tcp?

                  0
                  Тупо http запросами или добрые браузеростроители дали возможность браузеру подключаться к любому tcp?

                  Вероятно, коды ошибок отличаются, если порт закрыт и если подключиться удалось, но был нарушен протокол HTTP.
                  0
                  Это ж сам сайт сканирует, а не 3rd-party.
                  uMatrix в свою очередь способен блокировать и XHR-запросы к сторонним ресурсам.
                  Сейчас многие загружают js c 3rd-party cdn.
                  Ну так добавьте их в исключения.
                +6

                А это на уровне браузера не решается до сих пор? Кажется, доступ к localhost или к локальной сети страницей, загруженной извне – очевидный сценарий, требующий явного разрешения, так же, как доступ к геолокации, камере, микрофону и т.п.

                  0

                  Почему бы? Более того, связь с локалхостом очень часто используется для связи сайтом с локально установленным сервисом, и это вполне legit use, нет разве?

                    +3

                    Так и микрофон с камерой зачастую используются легально. Просто на это явно разрешение давать надо.

                  +8
                  Только не надо считать что это злой Большой Брат следит за пользователями во имя мирового сионизма. У ибэя большие проблемы с кардингом пейпал («вбивом») и самая старая схема — это брутфорс ПК с открытым RDP + тот же брутфорс Пейпал. Если найти аккаунт ПП и РДП в одном регионе — можно купить товар за чужой счёт имея просто банальную комбинацию пароля и логина (а это в наше время и защитой то назвать несерьёзно — большинство паролей есть в словарях).
                    +1

                    поддерживаю.
                    Вот был бы у меня магазин, где ежедневно кардят не 1 тысячу товара, стал бы я делать подобное? — Однозначно ДА, и это было бы вершиной айсберга.

                    –1
                    Сайт eBay сканирует сетевые порты ПК у Windows-пользователей на наличие программ удаленного доступа… На самой площадке пояснили, что это делается для безопасности пользователей.
                    Ну в общем как всегда- ''Воюйте за мир, е@итесь за девственность.''
                    Вот что-то не читал ни одной записи от пользователей на-eBay о том что они хотели что-то купить, а сайт залупился- ''Валите на фиг, не нужны мне ваши деньги, возможно ваш компьютер взломан'' А стандартная отмазка а ля ''мы вам черенок в задницу воткнули что бы вас никто не поимел'' выглядит смешно.
                      0
                      ''Валите на фиг, не нужны мне ваши деньги, возможно ваш компьютер взломан''

                      Таких тоже надо как-то детектить. И в итоге люди со специфическими вкусами (блокировщики, linux, VPN, нестандартное ПО) будут часто ловить подобные вещи и завалят саппорт Ebay вопросами «что за фигня, ничего оплатить не могу».
                      Это вызовет куда больший отток клиентов, чем взломы.
                      +5

                      Занимался разбором этого скрипта ещё года два назад. Это одна из лучших систем по снятию отпечатка системы. Используются хитрые приемы как обойти некоторые системы подмены отпечатков.
                      Причем это сторонее решение а не что то сделанное ебеем, так как встречал это скрипт на разных типах бизнеса, но все рисковые.

                        0
                        То есть даже Linken Sphere и прочие Antidetect обходит?
                          0
                          Linken Sphere — это вообще мусор, там даже оригинальный адрес пользователя, скрытого за прокси можно было получить, может все еще и можно, не интересовался больше.
                          Другие антидетекты не проверял на утечку айпи, но они все сплошные дыры…
                        +1
                        Лец ми спик фром май харт ин инглиш © В. Мутко
                        На месте eBay-я я (как очень давний пользователь — Member since: Jan 23, 2001 — и продавец), я бы промолчал, чем давать такие дурацкие оправдания. Уж кому-кому, но не eBay-ю говорить о «customer's security» и прочем BS! Каждый, кто когда-либо продавал digital certificates & codes (типа Xbox Gold pass etc.) прекрасно знает, как eBay «заботится» о своих пользователях — старичках и старушках, компьютеры которых сломали уродские script kiddies… А всего-то, что нужно сделать, так это подтверждение сделки через SMS или phone call. eBay-ю об этом пишут уже лет… надцать — но «воз и поныне там»…
                          0
                          3D secure слишком «дорого» для Америки, во всех смыслах. Даже банки не спешат, что там о магазинах говорить
                            0
                            Да ну, на самом деле сделать надежную верификацию покупки достаточно дешево (для такой компании, как eBay). Тут проблема в другом — в отношении менеджмента компании к программному обеспечению вообще (достаточно взглянуть на их допотопный UI, а также «новомодный», от которого все плюются), и к security в частности.
                            eBay дырявый, как решето, а количество «угнанных» эккаунтов и воровства на eBay просто превосходит все разумные пределы. Но они (то-бишь eBay) поступили «просто» — переложили все риски на продавцов и покупателей. Т.е. если с «угнанного» эккаунта произошла покупка (либо цифрового товара, либо реального на dropshot), то старичок, у которого украли эккаунт, позвонит в банк или кредитную компани, и деньги ему вернут. Но, как вы думаете, за чей счет? Да-да, как правило — за счет честного продавца! И, кстати, криминальных схем вокруг eBay-я — в самом настоящем смысле криминальных — крутится очень много.
                          0

                          Интересно почему Линукс они не сканируют

                            0
                            Потому что наличие линукса уже даёт сильное отличие в отпечатке и сканирование портов не так уж много даст по сравнению с этим.
                            +2
                            Сбербанк-онлайн такой же хренью занимается, причём в моём случае пытался ещё и проверить наличие локального SSH, HTTP-сервера, SMB и порта веб-консоли I2Pd. Linux, Vivaldi со стандартным юзерагентом.
                            image
                              0
                              Видимо ebay предполагает, что клиенты ebay, сидящие на Linux, более подкованы технически чем пользователи Windows.
                              С безопасностью на этой площадке дела обстоят действительно не самым лучшим образом. Выкручиваются как могут.
                              На клиентской стороне лучше пользоваться uBlock/uMatrix + HTTPS Everywhere + UserAgent switcher + TPRB (ThirdPartyRequestBlocker) + Decentraleyes + Containerise + Tampermonkey
                                –1
                                «На клиентской стороне лучше пользоваться uBlock/uMatrix + HTTPS Everywhere..» тогда разумнее вообще не использовать ebay & paypal. С учётом в основном китайского ассортимента с наценкой — потеря не велика.
                                  0
                                  За китайским ассортиментом с наценкой ходить лучше не на ebay. К счастью на ebay не только китайчатина имеется.
                                  0
                                  Для одного сайта нужно было как-то сделать несколько учётных записей, которые выглядели бы по-разному. Использовал прокси сразных стран + user-agent switcher. В итоге IP, DNS, юзер-агенты разные, судя по ipleak.net. Но хотелось бы ещё как-то изменить информацию о характеристиках экрана, это как-то можно сделать?
                                    0
                                    Виртуальные машины, подключение по rdp, использование телевизора в качестве монитора, режим разработчика в браузере и эмуляция ipad через него. Может помочь просто изменение размера окна. Ну и Tor Browser ещё маскирует размер экрана.
                                      0
                                      виртуальные машины, rdp, дополнительные мониторы, tor — слишком дорого и/или тормознуто в условиях, когда тебе нужно сопльзовать десятки аккаунтов. А вот режим разработчика да, меняет экран, спасибо.
                                  0
                                  Вот оказывается для чего нужны honeypot-ы. Раньше об этом как-то не догадывался.
                                    0
                                    Вывод: после взлома компьютера нужно подменять user agent, и проверки на открытые порты не будет.
                                    • НЛО прилетело и опубликовало эту надпись здесь
                                        0

                                        А такие запросы под блокировку cross-domain не попадают? Помнится, где-то читал, что там целую историю с подменой dns проделывают, чтобы такой скрипт мог стучаться в localhost..

                                          0
                                          Разница во времени ответа, если порт открыт — сервер ответит сразу и браузер отклонит запрос, если нет — то пару секунд потупит, прежде чем сигнализировать отвал по тайм-ауту.
                                          0
                                          Вдобавок оказалось, что сканирование портов скриптом check.js не происходит, если пользователь при посещении сайта eBay использует ПК на Linux.
                                          Догадываюсь, это из-за различий в реализации сетевого протокола под Windows и Linux.
                                          Под Windows при попытке стучать на закрытый порт после получения RST-пакета система пытается ещё несколько раз отправить пакет, и только через 1000 милисекунд «сдаётся» и генерирует ошибку о невозможности подключения. Под Linux такой проблемы нет, и ошибка всплывает практически сразу (в моих замерах ~4.8мс).
                                          В итоге, под Linux трюк с замером времени подключения не сработает — там мы или не подключимся и практически сразу получим ошибку сокета, или подключимся и получим ошибку CORS через такое же мизерное время.
                                          Под Windows — если мы не подключимся, то получим ошибку через секунду или дольше, а если подключимся — то значительно быстрее.
                                          Полагаю, именно на этом и основана методика определения открытого порта.

                                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                          Самое читаемое