?

Log in

Рассылка подозрительной ссылки на baidu.com всем моим контактам в Skype

« previous entry | next entry »
6th.Nov.2016 | 04:57 am

3-го ноября 2016 года в 17:02 (по киевскому времени) почти все (54 из 65) мои контакты в Skype получили от меня подозрительную ссылку (причём в течение 1-2 минут и персонифицированную, т.е. содержащую уникальную часть для каждого адресата).
Ссылка была вида http://www.baidu.com/link?url=XXX#YYY=ZZZ
Где, XXX - некая сгенерированная строка из больших и маленьких латинских букв, цифр, подчёркивания и минуса, длиной 64 или 43 символа (например, "MdESBbLah5If-B1OHcb_GBB1BvC0fYBcO1Z5iWmTOIvHgZoCnTxKInNy4Y69yTGL" или "Zkyozvl2exh5lDu9EJ5-PNoyLjka8YP4dQUIEYLoV1y"), YYY - видимо тоже сгенерированная строка, но возможно и из словаря, потому что похоже на слова, но встречались и просто наборы цифр (например, "gonasydo", "sazulybu", "jwohj" или "83424").
В финале - самое интересное, ZZZ - это скайп-имя того, кому ссылка была отправлена.

Судя по сообщениям от некоторых перешедших по этой ссылке, после редиректов, она приводила на страницу, где якобы Стивен Хокинг рекламировал какие-то таблетки. Не знаю запускались ли в процессе редиректов или на итоговой странице какие-то опасные скрипты, были ли попытки инфицировать или получить доступ к каким-то данным, или может это спам с попыткой продвижения чудо-таблеток, а скайп-имена вставлялись просто для отслеживания какой-то статистики.

С подобной ситуацией я уже столкнулся за неделю до того - один мой скайп-контакт 26 октября 2016 21:57 прислал мне странную ссылку вида https://www.linkedin.com/slink?code=XXX#YYY=ZZZ, XXX = "f-qXmQu", YYY = "41236", ZZZ = моё скайп-имя (т.е. схема аналогичная, но linkedin вместо baidu и первый код XXX сильно покороче). Когда я позже с ним пообщался - оказалось, что он не отправлял ссылку, но она ушла всему контакт-листу, причём в указанное время он не был в онлайне в скайпе и более того - все его компьютеры (где он заходил этим скайпом) были выключены, скайп был только на телефоне (iPhone) и в спящем режиме (я видел его жёлтеньким).

Я же был в онлайне в момент массовой отправки от моего имени (на рабочем компьютере, причём на телефоне Skype я ни разу не использовал).
Понятное дело, что первым делом я бросился менять свой пароль на Skype. Потом отвечал на недоумение "осчастливленных" контактов. Потом начал гуглить.

На форуме community.skype.com я нашёл множество тем с аналогичными проблемами (например, Link to "baidu" website sent to all of my contacts.), очень многие жаловались, что их постигла эта проблема, спрашивали совета, делились соображениями, пытались проводить анализ ситуации и сделать выводы. При этом рекомендации от модераторов и поддержки Skype сводились к "смените пароль, используйте сложный и уникальный", "проверьте компьютер на вирусы", "включите двухфакторную верификацию для Microsoft аккаунта" (вот, например, прикреплённая вверху тема с рекомендациями недельной давности от community manager  - Spam messages & links sent from your account?).

Главное для меня было понять почему это произошло, чтобы постараться избежать повторения в будущем и знать что посоветовать другим. Проверка компьютеров (домашнего и рабочего) на вирусы ничего не дала. Я не указывал своё скайп-имя ни в LinkedIn, ни в Facebook, ни на других порталах и аккаунтах, а тем более не вводил пароль от него (и никогда не поддавался на фейковые письма о необходимости залогиниться и ссылкой, маскирующейся под настоящую). Моё скайп-имя не совпадает с логинами на других сайтах (тот же LinkedIn, Facebook и т.п.). Единственное пересечение - привязка к одному e-mail. Но, если бы увели e-mail, то всё равно не могли бы узнать мой текущий пароль в Skype, пришлось бы инициировать его сброс через ссылку на почту и установить новый пароль, которого бы я понятное дело не знал и не мог бы войти в скайп, но пока я сам не сменил пароль - я входил в скайп и меня не выкидывало, потом логинился на сайт для смены пароля и меня тоже пускало, плюс на сайте e-mail в журнале входов и действий не было никаких подозрительных сессий за последнее время.

В процессе чтения всяческих рекомендаций я наткнулся на ссылку https://account.live.com/Activity где можно посмотреть активность по Microsoft аккаунту (оказалось, что всех пользователей Skype без их ведома сделали счастливыми обладателями Microsoft аккаунта), в процессе входа оно нашло мой другой Microsoft аккаунт (заводил для работы с Visual Studio, был привязан к тому же e-mail, что и Skype) и кажется связало их, в конце концов я увидел свою Skype-активность за последний месяц и за 2-3 минуты до рассылки был успешный вход с бразильского айпи через Firefox, судя по всему эта сессия и была источником массовой спам-рассылки (т.е. сообщение не отправлялось с моего компьютера; кстати, ещё одним подтверждением этого было то, что я не видел менюшки "удалить сообщение" даже учитывая, что на тот момент не прошло и 5 минут с момента отправки, а на соседнем сообщении эта менюшка была).

После чтения сотен сообщений на форуме community.skype.com могу выделить такую важную информацию:
- первые случаи [массовых рассылок странной персонализированной ссылки всему списку контактов] были зарегистрированы уже более года назад и повторяются регулярно по сей день;
- жертвы конечно же меняли свои пароли, но, как минимум некоторым, это не помогло и рассылка повторялась;
- проблема коснулась в том числе и тех, у кого были установлены уникальные и надёжные-стойкие (сгенерированные) пароли, а компьютеры надёжно защищены (антивирусами, файерволами и т.п.);
- некоторые жертвы на момент рассылки уже 3-4 года вообще никоим образом не пользовались Skype, не логинились в него (а тут шеф звонит и спрашивает "ты зачем гадкую ссылку прислал?");
- были жертвы использующие Skype только на Windows (как я), были только на Mac, были только на Android или только на iOS, были разные сочетания, не видно никакой избирательности по платформам;
- почти все жертвы не нашли никаких вирусов или malware после сканирования множеством разных антивирусов и утилит;
- многие в журнале активности находили успешный вход из неожиданной страны, некоторые - ещё парочку (несколько, не десятки и не сотни) неуспешных попыток входа до этого;
- были как люди которые впервые услышали о Microsoft аккаунте (т.е. всю жизнь пользуются только Mac, никакого отношения к Microsoft не имеют и очень удивляются, что у них есть Microsoft аккаунт), так и те, у которых есть аккаунты Outlook.com, Hotmail.com и др., которыми они активно пользуются;
- у некоторых рассылка включала отправки на пользователей, отсутствующих в списке контактов (у меня по истории сообщений первая отправка была на отсутствующее в списке контактов скайп-имя live, кто-то на форуме тоже упоминал его);

Понятное дело, что причины проблемы у жертв теоретически могли отличаться, но вот какие были выдвинуты и обсуждались возможные объяснения (в скобках возражения, контраргументы):
- сообщение отправил вирус на вашем компьютере-планшете-смартфоне-скайпе (в моём случае и многих других - точно нет, потому что отправка шла с другого айпи, скайп был выключен или даже не использовался годами, антивирусы ничего не нашли);
- украл скайп-имя и пароль вирус на вашем компьютере-планшете-смартфоне-скайпе, а рассылка шла с устройства злоумышленника (опять же антивирусы не нашли, много разных платформ - вирус должен быть очень мультиплатформенный и найти подходящие уязвимости на всех платформах, если скайп не использовался 3-4 года, то и украсть было невозможно или украли давно и ждали несколько лет);
- пароль был слишком простой и легко подбирался (у некоторых был очень сложный пароль, а у многих достаточно сложный, чтобы его нельзя было подобрать полным перебором, даже словарным, за вменяемое время, в журнале активности у большинства не было никаких следов перебора, обычно сразу был успешный вход);
- скайп-имя и пароль были украдены во время хакерских атак на другие порталы, как например: LinkedIn, Last.fm, Dropbox (моего скайп-имени и тем более пароля не было ни на каких ресурсах, во время обсуждения не было найдено общности жертв по указыванию своего скайп-имени где-то);
- во время хакерских атак на другие порталы украли логины+пароли от других ресурсов, но они же подошли и для Skype (моё скайп-имя отличается от логинов на всех других ресурсах, в числе жертв были обладатели уникального пароля, сгенерированного утилитой специально только для Skype);
- была атака именно на Skype и были украдены логины+пароли (представители Microsoft отрицают этот факт, у некоторых жертв проблема повторялась уже после смены пароля, выходит атаки и кражи должны были повторяться снова и снова);
- это какая-то уязвимость у Skype и/или Microsoft, возможно связанная с добавлением Skype-аккаунтов в Microsoft-аккаунты, которая даёт возможность логиниться в Skype кем угодно даже не зная пароль (представители Microsoft отрицают этот факт, но это единственное возражение и оно достаточно слабое, они могут не знать об уязвимости или знать, но специально скрывать сей факт, а такая причина достаточно хорошо объясняет практически все озвученные нюансы и симптомы и кажется мне вероятной, хотя и самой печальной, в том плане, что тогда все пользователи Skype в опасности и ничего сделать нельзя);

Какие выводы? В чём причина моей проблемы? "Есть ли жизнь на Марсе, нет ли жизни на Марсе — это науке неизвестно." (ц) После всех часов анализа и гугления - я не знаю. Но такие рекомендации мне кажутся разумными:
- Если вам прислали подобную ссылку (главный признак - ваше скайп-имя в самом конце), то не нужно по ней переходить.
- Если от вашего имени прошла рассылка, то немедленно смените пароль (и Skype и связанного e-mail или вообще привяжите Skype к другому e-mail) и просканируйте все устройства антивирусом, а лучше несколькими разными.
- Универсальные: устанавливайте заплатки к уязвимостям вашей операционной системы, имейте и держите включённым антивирус, не устанавливайте программы из ненадёжных источников, не переходите по подозрительным ссылкам, в том числе присланным по электронной почте, не вводите свои пароли на подозрительных сайтах, тщательно проверяйте адрес в адресной строке браузера, не открывайте подозрительные вложения в электронной почте, проверяйте антивирусом подключаемые флешки.

P.S. Для параноиков встречал рекомендации ресурсов, которые проверяют наличие логина, e-mail, имени в скомпрометированных данных (украденных при атаках на всевозможные порталы):
https://haveibeenpwned.com/
https://www.leakedsource.com/

Link | Leave a comment | Share

Comments {8}

Me

(no subject)

from: finesoul
date: 6th.Nov.2016 07:22 am (UTC)
Link

Ого яке велике дослідження! Глянув, у мене скайп ні з чим крім пошти не зв'язаний і чесно про це пише. Хоча на пошту зареєстровано з дюжину аккаунтів. Якось хотів їх повбивати, але потім вирішив поки що не псувати людям життя.

Reply | Thread

deedoubleu

(no subject)

from: deedoubleu
date: 6th.Nov.2016 06:45 pm (UTC)
Link

Я тоже склоняюсь к мысли, что нелады именно с майкрософтовским аккаунтом.

Печаль-беда. Завтра подобные ссылки могут пойти от меня дже при соблюдении всех мер безопасности.

Reply | Thread

...Вона блює і співає

(no subject)

from: bytebuster463
date: 7th.Nov.2016 12:17 am (UTC)
Link

Ого! Оце так дослідження! Знімаю капелюха!

Reply | Thread

LiveJournal

Рассылка подозрительной ссылки на baidu.com всем моим конт

from: livejournal
date: 7th.Nov.2016 10:21 am (UTC)
Link

Пользователь bytebuster463 сослался на вашу запись в своей записи «Рассылка подозрительной ссылки на baidu.com всем моим контактам в Skype» в контексте: [...] at Рассылка подозрительной ссылки на baidu.com всем моим контактам в Skype [...]

Reply | Thread

Сергей

(no subject)

from: komik_ad_ze
date: 22nd.Nov.2016 12:15 pm (UTC)
Link

У меня случилось вышеприведенное событие сегодня. Не припоминаю, правда, чтобы у меня был аккаунт в Microsoft. Ну, то есть, как порывался и начинал регистрацию помню раз несколько. Но, чтобы довести ее до конца...
Пароль на Скайпе был откровенно слабым.

Reply | Thread

alik_ntu

(no subject)

from: alik_ntu
date: 22nd.Nov.2016 09:46 pm (UTC)
Link

У всех пользователей Скайпа есть аккаунт в Майкрософт, просто не все это знают. )

Пароль Скайпа однозначно сменить, конечно на сложный. Желательно и на привязанную почту пароль тоже поменять или вообще привязать Скайп к другой.

Ну и надеяться, что это был единичный случай или что Майкрософт разберётся и починит-предотвратит. )

Reply | Parent | Thread

Сергей

(no subject)

from: komik_ad_ze
date: 22nd.Nov.2016 11:22 pm (UTC)
Link

О, спасибо!
А про почту я и забыл.

Reply | Parent | Thread

LiveJournal

Рассылка подозрительной ссылки на baidu.com всем моим конт

from: livejournal
date: 22nd.Nov.2016 12:16 pm (UTC)
Link

Пользователь komik_ad_ze сослался на вашу запись в своей записи «Рассылка подозрительной ссылки на baidu.com всем моим контактам в Skype» в контексте: [...] Originally posted by at Рассылка подозрительной ссылки на baidu.com всем моим контактам в Skype [...]

Reply | Thread