叙利亚电子军(SEA)一贯喜欢以国际上的主要媒体作为攻击目标。 6月23日, 叙利亚电子军通过第三方广告商入侵了路透社的网站, 将访问用户跳转到他们控制的一个网站上。
安全研究专家Frederic Jacobs指出, 尽管攻击的最终目标是路透社, 事实上, 真正受到攻击的是第三方广告服务商Taboola。
“目前还不清楚Taboola究竟是如何被攻破的, 不过根据叙利亚电子军过去的攻击手段来看, 我猜很可能是通过钓鱼的手段。 就像以前很多被叙利亚电子军黑掉的企业一样, Taboola采用Google Apps。 叙利亚电子军经常使用他们的Google钓鱼模板来诱导用户输入他们的密码。” Frederic Jacobs认为。
“黑掉Taboola的价值可远不止黑掉路透社那么简单。 Taboola拥有3.5亿的独立用户, 与世界上最大的新闻站点包括Yahoo!, BBC,福克斯新闻, 纽约时报等等都有合作关系。 任何Taboola的客户从现在起都有可能会被黑掉。“
Taboola在网站上发布了声明, 确认了遭受攻击:今天上午7点到8点之间, 黑客组织叙利亚电子军, 入侵了Taboola在路透社的广告插件, 把用户从路透社网站重定向到其他网站。 攻击大约在7点25分被发现, 到8点钟已经完全清楚。 目前还没有发现攻击者的其他行为。 整个攻击过程大约为60分钟。
通常, 像路透社这样的网站会采用第三方的服务, 例如广告发布或者流量分析。 这些都增大了网站的风险。 因此, 建议网站管理员尽量少安装第三方插件。 此外, 最好采取双因素认证方式。
“由于钓鱼等社交工程的攻击手段对于很多非技术人员来说常常十分有效, 你应该采取双因素认证方式。 假如Taboola的系统管理员对Google Apps采取了双因素认证的话, 也许路透社就不会被黑掉。”Frederic Jacobs认为。
ps:上面案例中攻击者通过入侵目标网站采用的第三方服务的方式来达到入侵目标网站的目的,是《论一个冷门却有潜力的WEB攻击手法(外部调用JS/CSS来实现WEB渗透)》攻击方式的一个具体实践案例。在具体渗透测试过程中,可以使用如下代码来测试网站嵌入的第三方js代码:
for(var i=0,tags=document.querySelectorAll('iframe[src],frame[src],script[src],link[rel=stylesheet],object[data],embed[src]'),tag;tag=tags[i];i++){
var a = document.createElement('a');
a.href = tag.src||tag.href||tag.data;
if(a.hostname!=location.hostname){
console.warn(location.hostname+' 发现第三方资源['+tag.localName+']:'+a.href);
}
}
转载请注明:jinglingshu的博客 » 叙利亚电子军利用第三方广告服务入侵路透社网站