Специалисты портала Null Sweep в конце мая 2020 года заметили странную сетевую активность компонентов сайта eBay. Оказалось, что с помощью специального скрипта там проводится сканирование сетевых портов ПК пользователей на наличие программ удаленного доступа. На самой площадке пояснили, что это делается для безопасности пользователей.
Эксперты издания Bleeping Computer подтвердили , что сайт eBay действительно проводит скрытое сканирование с помощью скрипта check.js , которое запускается при каждом посещении ресурса.
td_3Y=['REF:63333','VNC:5900','VNC:5901','VNC:5902','VNC:5903','RDP:3389','ARO:5950','AMY:5931','TV0:5939','TV1:6039','TV2:5944','TV2:6040','APC:5279','ANY:7070'];
Скрипт check.js, используя WebSocket для подключения к 127.0.0.1 через заданный порт, сканирует 14 портов на ПК:
5900: VNC;
5901: VNC port 2;
5902: VNC port 3;
5903: VNC port 4;
5279: Anyplace Control;
3389: Windows remote desktop / RDP (Remote Desktop Protocol);
5931: Ammy Admin remote desktop (Ammyy Admin);
5939: TeamViewer;
5944: TeamViewer;
5950: WinVNC (Aeroadmin);
6039: TeamViewer;
6040: TeamViewer;
63333: TrippLite power alert UPS;
7070: AnyDesk.
Многие из сканируемых выше сетевых портов используются популярными инструментами для удаленного управления рабочими столами пользователей, например, Windows Remote Desktop, VNC, TeamViewer, Ammyy Admin и другие.
Вдобавок оказалось, что сканирование портов скриптом check.js не происходит, если пользователь при посещении сайта eBay использует ПК на Linux.
Джек Рисайдер (Jack Rhysider), создатель Darknet Diaries , пояснил, что у процедуры сканирования портов на сайте eBay есть определенные цели. И это скорее всего делается с целью доставки рекламы, для снятия отпечатков пользовательских ПК (фингерпринтинга) или защиты от мошенничества.
Вдобавок Рисайдер пояснил, что сканирование делается в браузере, поэтому брандмауэры\файрволы пользователя не могут этот процесс заблокировать. А сам факт проведения такого сканирования можно расценивать как злонамеренное поведение со стороны сайта и может не соответствовать требованиям локальных законов пользователей.
I learned a lot tonight. This is what dev tools tells me in Edge by just visiting eBay. The website is port scanning my laptop, bypassing my firewall, and doing it in/from the browser. It checked 14 ports. Let's discuss. 1/5 pic.twitter.com/0w4uSKiWR5 — Jack Rhysider (@JackRhysider) May 24, 2020
Пользователь Nemec понял, что на eBay также шифруют результаты сканирования и передают его на свои серверы в GET-запросе к png. Он выложил на gist.github.com скрипт для расшифровки этих данных.
And it helpfully describes what it's looking for: VNC, RDP, and some others I don't recognize pic.twitter.com/vy7rF6EQiO — Nemec (@djnemec) May 24, 2020
Издание Bleeping Computer смогло получить ответ от eBay по этой ситуации со сканированием. Официальные представители eBay воздержались от комментариев, но пояснили, что «конфиденциальность и сохранение данных клиентов остаются их первоочередной задачей, поэтому они стремятся создать на своем сайте для этого удобную и надежную систему».
Другие сайты также проводят скрытое сканирование портов пользователей. Например, эту процедуру часто проводят банковские сервисы. В 2018 году это делал сайт банка Halifax Bank. В 2019 году сканер портов был зафиксирован в личном кабинете Ростелекома. Тогда пресс-служба Ростелекома сообщила, что скрипт используется как «антифрод-система для предотвращения онлайн-мошенничества» путем анализа пользовательской сессии.
Ранее в 2016 году издание Bleeping Computer опубликовало информацию о том, что злоумышленники с помощью TeamViewer перехватывали управление над ПК пользователей и совершали большое количество мошеннических операций на eBay и Amazon. Тогда даже был даже создан специальный портал с таблицей для отслеживания таким мошеннических схем.)
Эксперты издания Bleeping Computer подтвердили , что сайт eBay действительно проводит скрытое сканирование с помощью скрипта check.js , которое запускается при каждом посещении ресурса.
td_3Y=['REF:63333','VNC:5900','VNC:5901','VNC:5902','VNC:5903','RDP:3389','ARO:5950','AMY:5931','TV0:5939','TV1:6039','TV2:5944','TV2:6040','APC:5279','ANY:7070'];
Скрипт check.js, используя WebSocket для подключения к 127.0.0.1 через заданный порт, сканирует 14 портов на ПК:
5900: VNC;
5901: VNC port 2;
5902: VNC port 3;
5903: VNC port 4;
5279: Anyplace Control;
3389: Windows remote desktop / RDP (Remote Desktop Protocol);
5931: Ammy Admin remote desktop (Ammyy Admin);
5939: TeamViewer;
5944: TeamViewer;
5950: WinVNC (Aeroadmin);
6039: TeamViewer;
6040: TeamViewer;
63333: TrippLite power alert UPS;
7070: AnyDesk.
Многие из сканируемых выше сетевых портов используются популярными инструментами для удаленного управления рабочими столами пользователей, например, Windows Remote Desktop, VNC, TeamViewer, Ammyy Admin и другие.
Вдобавок оказалось, что сканирование портов скриптом check.js не происходит, если пользователь при посещении сайта eBay использует ПК на Linux.
Джек Рисайдер (Jack Rhysider), создатель Darknet Diaries , пояснил, что у процедуры сканирования портов на сайте eBay есть определенные цели. И это скорее всего делается с целью доставки рекламы, для снятия отпечатков пользовательских ПК (фингерпринтинга) или защиты от мошенничества.
Вдобавок Рисайдер пояснил, что сканирование делается в браузере, поэтому брандмауэры\файрволы пользователя не могут этот процесс заблокировать. А сам факт проведения такого сканирования можно расценивать как злонамеренное поведение со стороны сайта и может не соответствовать требованиям локальных законов пользователей.
I learned a lot tonight. This is what dev tools tells me in Edge by just visiting eBay. The website is port scanning my laptop, bypassing my firewall, and doing it in/from the browser. It checked 14 ports. Let's discuss. 1/5 pic.twitter.com/0w4uSKiWR5 — Jack Rhysider (@JackRhysider) May 24, 2020
Пользователь Nemec понял, что на eBay также шифруют результаты сканирования и передают его на свои серверы в GET-запросе к png. Он выложил на gist.github.com скрипт для расшифровки этих данных.
And it helpfully describes what it's looking for: VNC, RDP, and some others I don't recognize pic.twitter.com/vy7rF6EQiO — Nemec (@djnemec) May 24, 2020
Издание Bleeping Computer смогло получить ответ от eBay по этой ситуации со сканированием. Официальные представители eBay воздержались от комментариев, но пояснили, что «конфиденциальность и сохранение данных клиентов остаются их первоочередной задачей, поэтому они стремятся создать на своем сайте для этого удобную и надежную систему».
Другие сайты также проводят скрытое сканирование портов пользователей. Например, эту процедуру часто проводят банковские сервисы. В 2018 году это делал сайт банка Halifax Bank. В 2019 году сканер портов был зафиксирован в личном кабинете Ростелекома. Тогда пресс-служба Ростелекома сообщила, что скрипт используется как «антифрод-система для предотвращения онлайн-мошенничества» путем анализа пользовательской сессии.
Ранее в 2016 году издание Bleeping Computer опубликовало информацию о том, что злоумышленники с помощью TeamViewer перехватывали управление над ПК пользователей и совершали большое количество мошеннических операций на eBay и Amazon. Тогда даже был даже создан специальный портал с таблицей для отслеживания таким мошеннических схем.)