W jaki sposób odwiedzanie strony internetowej może zainfekować komputer?

Komputer mojej matki niedawno został zainfekowany jakimś rootkitem. Zaczęło się, kiedy otrzymała wiadomość od bliskiego przyjaciela z prośbą o sprawdzenie jakiejś strony internetowej. Nigdy tego nie widziałem, ale moja mama powiedziała, że ​​to tylko blog, nic ciekawego.

Kilka dni później moja matka zalogowała się na stronie głównej PayPal. PayPal przekazał powiadomienie o bezpieczeństwie, w którym stwierdził, że aby zapobiec oszustwom, potrzebował dodatkowych danych osobowych. Wśród niektórych bardziej normalnych informacji (imię i nazwisko, adres itp.) Poprosili o jej SSN i ​​PIN banku! Odmówiła przekazania tych informacji i złożyła skargę do PayPal, że nie powinni o nie prosić.

PayPal powiedział, że nigdy nie poprosi o takie informacje i że nie była to ich strona internetowa. Nie było takiego „powiadomienia o bezpieczeństwie”, gdy logowała się z innego komputera, tylko z jej własnego. To nie była próba wyłudzenia informacji lub przekierowanie, IE wyraźnie pokazało połączenie SSL z https://www.paypal.com/

Przypomniała sobie ten dziwny e-mail i zapytała o to swojego przyjaciela - przyjaciel nigdy go nie wysłał!

Oczywiście coś na jej komputerze przechwytywało stronę główną PayPal, a ten e-mail był jedyną dziwną rzeczą, która wydarzyła się ostatnio. Powierzyła mi, żebym wszystko naprawił. Ostukałem komputer z orbity, ponieważ był to jedyny sposób, aby się upewnić (tj. Sformatował ponownie dysk twardy i wykonał czystą instalację). To wydawało się działać dobrze.

Ale zastanawiałem się ... moja mama niczego nie pobierała i nie prowadziła. Nie było uruchomionych żadnych dziwnych kontrolek ActiveX (nie jest analfabetą komputerową i wie, że ich nie instaluje) i używa tylko poczty internetowej (tj. Nie ma luki w programie Outlook). Kiedy myślę o stronach internetowych, myślę o prezentacji treści - JavaScript, HTML i może trochę Flash.

W jaki sposób może to zainstalować i uruchomić dowolne oprogramowanie na twoim komputerze? Wydaje się to trochę dziwne / głupie, że takie luki istnieją.

Jeśli używa przestarzałej wersji IE (lub Firefox), w samej przeglądarce występują znane luki. Tak, to trochę dziwne / głupie, ale pisanie doskonałego oprogramowania jest bardzo, bardzo, bardzo trudne.

Prawdopodobnie istnieją nieznane / nieujawnione luki w bieżących wersjach przeglądarek internetowych (a także każdego innego oprogramowania)

Jestem całkiem przekonany, że Flash ma pewne słabe punkty. Zostałem zainfekowany przez witryny, które odwiedziłem za pomocą Firefoxa i jestem pewien, że niczego nie zainstalowałem.

Spójrz na ataki skryptów krzyżowych (XSS) - wikipedia ref .

Może to być również złośliwe oprogramowanie, które można uruchomić w załączonym poczcie.
Ale skoro opisujesz przejście do witryny, winowajcą jest prawdopodobnie przeglądarka z tej witryny.

Jeśli kliknie łącza w swojej skrzynce pocztowej, gdy jest podłączony do Internetu,
wszystkie luki w jej przeglądarce są narażone na odwiedzane witryny. Powinieneś przynajmniej załatać jej maszynę (jeśli system operacyjny jest nadal obsługiwany) i zainstalować program antywirusowy (tak, spowoduje to dużą rozmowę tutaj).

Ale w dużej mierze byłoby to nauczenie się, aby nie klikać nieznanego linku ani otwierać nieoczekiwanych załączników, które zapewnią bezpieczeństwo jej systemowi .

Czy to pytanie nie powinno być migrowane do SuperUser ?

Plik hosta systemu Windows można zmodyfikować, aby system zawsze przekierowywał (nawet po ponownym uruchomieniu).
Oto bardziej rozwinięty atak z wykorzystaniem tych rzeczy - Jak złośliwe oprogramowanie rozwija sieć phishingową .
Jeśli używasz rzeczy takich jak Spybot Search & Destroy . Będzie sprawdzał plik hostów pod kątem uszkodzeń.

Tego rodzaju exploit jest niebezpieczny tylko wtedy, gdy używasz przeglądarki z uprawnieniami administratora.

IE nie jest w żadnym razie bezpieczną przeglądarką, ale strona internetowa nie powinna być w stanie zainfekować komputera, chyba że wykorzystuje dość duże luki bezpieczeństwa we wtyczkach i / lub dodatkowych funkcjach przeglądarki.

Aby być tak bezpiecznym, jak to możliwe, użyj przeglądarki internetowej (takiej jak Google Chrome), która wyświetla strony internetowe w piaskownicy, w środowisku wirtualnym, które powstrzyma złośliwy kod przed dostaniem się do twojego komputera. Ponadto Chrome kontaktuje się z bazą danych złośliwych stron internetowych i wyświetla ostrzeżenie przed ich załadowaniem, dla pewności.

Pisanie wtyczek i dodatków do przeglądarek zawsze będzie wymagało równowagi pomiędzy mocą a bezpieczeństwem, ktoś po prostu dał wtyczce trochę za dużo mocy. (Założę się, że java)

Jestem skłonny wierzyć, że to, czego doświadczyła, było wynikiem przestarzałej wtyczki, takiej jak Flash lub Java. Jeśli nie masz rzeczywistej potrzeby korzystania z języka Java w systemie, usuń go. I zawsze staraj się być na bieżąco z instalatorami. Naprawdę, jeśli bezpieczeństwo jest takim problemem, powiedziałbym im, aby korzystali z Linuksa. To ma znacznie lepszy aktualizator. Alternatywnie może być tak, że w samej przeglądarce występuje exploit. IE8 to stara przeglądarka wypełniona lukami w zabezpieczeniach. Używaj Chrome, Opery lub Firefoksa, wszystkie są o wiele mil bardziej nowoczesne i bezpieczniejsze. Ponadto fakt, że używa XP oznacza, że ​​system nie ma absolutnie żadnej koncepcji uprawnień. Nie ma sudo i roota, ani UAC. Nowocześniejsze systemy operacyjne Windows, takie jak 7 i 8, mają UAC, co choć nie jest na równi z sudo + apparmor / SELinux w Linuksie, wciąż jest o wiele lepsze niż nic.

Aby usunąć zamieszanie, witryna może zainfekować komputer bez wtyczek. Mianowicie JavaScript. Chociaż nowoczesne przeglądarki wykorzystują piaskownicę JavaScript, więc może wykonywać operacje tylko na plikach w / tmp, JavaScript nadal może wykorzystywać faktyczne luki w samej przeglądarce. W niektórych przypadkach może to być nawet exploity w łatanych przeglądarkach (powszechnie znane jako exploit 0day), chociaż takie incydenty są rzadkie.