These forums have been archived and are now read-only.

The new forums are live and can be found at https://forums.eveonline.com/

Allgemeines

 
  • Topic is locked indefinitely.
 

Vom "Isk double service" zum Hacker

Author
Tigihome
Balanced Unity
Goonswarm Federation
#1 - 2016-09-14 22:17:55 UTC
Guten Tag liebe Gemeinde

Sry für den lange Text, lange geschichte
(kurzfassung: local link, windows browser, malwar, keylogger etc)

Wir kennen sie alle, sie sitzen in Amarr, Jita oder Rens und versprechen die zu gesannte menge ISK zu verdoppeln und wir kennen alle die links die auf diverse seiten führen und uns den konto stand anzeigen.

Wer bis jetzt kein opfer geworden ist wird es vielleicht jetzt, denn, seit dem EVE keinen seiten mehr im internen Browser öffnet sondern auf den System Browser zugreift besteht eine neue Gefahr: Viren und MalwareAttention

Die Tage sah ich einen link im Jita local und klickte aus langeweile drauf (ich weis, sollte man nicht) der link sah eigendlich harmlos aus, sofort riesen alarm, Malware geblockt etc.

Um diesen vorfall zu untersuchen habe ich mir eine VM (virtuelle Maschine (PC im PC)) erstellt, Eve drauf und dann diverse links im jita local geklickt (Isk service, einfache links usw.) und musste feststellen das fast jeder einfache link und fast jeder 5 "ISK Service" link verseucht war.

Nach dem besuchen solcher seiten fanden sich Keylogger und RAT tools (Remote Administration Tool (ein tool das dem Angreifer volle kontrolle über alles (Cam, Mic, Daten usw.) gibt)) auf dem System die in einem fall sogar gezielt auf den CCP Ordner Zugriffen...
Alles in allem durch die Weiterleitung der links auf den System Browser ermöglicht.


Darum: Finger weg von Links die ihr nicht kennt oder die von irgend welchen leuten aus dem Local sind!


MFG

Tigihome


(ob Groß oder klein, Buchstabe ist buchstabe)
Kolmogorow
Freedom Resources
#2 - 2016-09-14 22:56:06 UTC
Oh, übel! Danke für die Warnung und die Analyse! (Hast Du CCP informiert?) Dumme technische Frage: Warum bestand die Gefahr mit dem Ingame Browser nicht? Hat der kein Javascript ausgeführt oder so was in der Art?
Tigihome
Balanced Unity
Goonswarm Federation
#3 - 2016-09-14 23:02:01 UTC
Kolmogorow wrote:
Oh, übel! Danke für die Warnung und die Analyse! (Hast Du CCP informiert?) Dumme technische Frage: Warum bestand die Gefahr mit dem Ingame Browser nicht? Hat der kein Javascript ausgeführt oder so was in der Art?


Die frage habe ich mir auch schon gestellt, warscheinlich liegt es an java und Flash das damals nicht im ingame browser möglich war.

Wenn jemand dazu die Antwort wäre es schön wenn er sie uns erläutern könnte
Darkblad
#4 - 2016-09-15 05:37:36 UTC  |  Edited by: Darkblad
Es ist schlicht das.
Der IGB war - absichtlich - so beschnitten, dass er außer html, javascript (und css) nichts konnte.
Flash, Java und andere mehr oder weniger fortschrittliche technologien blieben außen vor.

Was früher schon möglich war (Schadsoftware über verlinkte Seiten an den Mann bringen) ist jetzt "einfacher", weil sowieso alle diese Links in ihrem Desktop Browser öffnen.

Eine Zusätzliche Warnung, die bei Seitenauruf von innerhalb des Client erscheint (Das Forum hat für so etwas eine eigene Warnseite), möglicherweise sogar mit der Option, dass man selbst "diese Website ist vertrauenswürdig" ankreuzen kann währe natürlich fein. Die So markierten Websites/Domains werden dann im lokalen Speicher des eigenen Browser gespeichert.
Wäre aber auch mit Arbeitsaufwand verbunden. Bei CCP. Beim Web Team.
Geronimo McVain
The Scope
Gallente Federation
#5 - 2016-09-15 06:23:55 UTC
Danke für den Tip. Vielleicht sollte CCP mal darüber nachdenken, das man nicht auf den Standart browser umleitet sondern den Browser vorher, Einstellungen, wählen kann. Dann könnte man einen Browser wie Opera zusätzlich installieren, den man völlig verriegelt.
Timo Tsutola
Pheonix Trade Coalition
#6 - 2016-09-15 10:49:59 UTC
Für solche Geschichten würde ich jedem empfehlen ein Addon wie Noscript o.Ä. zu nutzen. Die blockieren Java und Javascript, lassen es aber mit einem Mausklick auf sicheren Seiten wieder zu. So sollte man sicher sein falls man ausversehen auf einen verseuchten Link klickt.
Kackpappe
Bastard Operator From Hell
#7 - 2016-09-18 22:12:22 UTC
Danke für den Hinweis Tigihome


Bierat a Vindelicorum
Doomheim
#8 - 2016-10-02 13:54:24 UTC
Hab das ganze bei mir auf dem Blog gepostet, vllt erreicht man dadurch noch mehr Leute!


Auf jedenfall, vielen Dank für den Hinweis!