eBay сканирует порты на устройствах посетителей
Сайт ebay.com сканирует локальные порты посетителей в поисках приложений для удаленной поддержки и удаленного доступа.
Факт обнаружили ИБ-эксперты и журналисты Bleeping Computer. Многие из этих портов связаны с такими инструментами, как Windows Remote Desktop, VNC, TeamViewer, Ammy Admin.
Ebay сканирует при помощи скрипта check.js (архивная копия), который пытается подключиться к следующим портам:
Сканирование выполняется с использованием WebSockets для подключения к 127.0.0.1. Все 14 сканируемых портов и связанные с ними программы перечислены в таблице ниже.
Программа |
Обозначение Ebay |
Порт |
Неизвестно |
REF |
63333 |
VNC |
VNC |
5900 |
VNC |
VNC |
5901 |
VNC |
VNC |
5902 |
VNC |
VNC |
5903 |
Remote Desktop Protocol |
RDP |
3389 |
Aeroadmin |
ARO |
5950 |
Ammyy Admin |
AMY |
5931 |
TeamViewer |
TV0 |
5939 |
TeamViewer |
TV1 |
6039 |
TeamViewer |
TV2 |
5944 |
TeamViewer |
TV2 |
6040 |
Anyplace Control |
APC |
5279 |
AnyDesk |
ANY |
7070 |
Первым на это обратил внимание ИБ-специалист, известный как Nullsweep. Он сообщил, что если открыть сайт с Linux-машины, сканирование не проводится.
Журналисты Bleeping Computer сообщают, что впервые услышали о скрипте, сканирующем порты, от специалиста DarkNetDiaries Джека Рисайдера. Он высказал предположение, что сканирование портов может осуществляться с целью доставки рекламы, фингерпринтинга или для защиты от мошенничества.
Скорее всего, сканирование действительно проводится для обнаружения скомпрометированных компьютеров, используемых для мошенничества на eBay. Еще в 2016 году злоумышленники использовали TeamViewer для захвата чужих устройств, опустошения счетов PayPal и заказа товаров с eBay и Amazon. Тогда была создана специальная таблица для отслеживания таких атак.
Теория о борьбе с мошенниками подтверждается еще одним ИБ-экспертом, Дэном Немеком, который на днях написал материал о странной активности eBay. Немек проследил используемый аукционом скрипт до продукта ThreatMetrix, который создан компанией LexisNexis и используется для обнаружения мошенников. И хотя сканер eBay, по сути, ищет известные и легитимные программы, в прошлом некоторые из них действительно использовались в качестве RAT в фишинговых кампаниях.
Представители eBay ограничились обтекаемым комментарием по данному вопросу. Так, на вопрос журналистов Bleeping Computer о сканировании портов посетителей в компании ответили следующее:
«Конфиденциальность и данные наших клиентов являются нашим главным приоритетом. Мы стремимся создать на наших сайтах и сервисах атмосферу безопасности, удобства и надежности».
Смотреть все статьи по теме "Информационная безопасность"
В этой статье я поделюсь практическими наработками из опыта своей компании по организации эффективной коммуникации при создании ПО на заказ.