Cómo mantenerse a salvo de la nueva vulnerabilidad de seguridad de eBay
EBay tiene una reputación de prácticas de seguridad menos que estelares, y parece que no va a mejorar en el corto plazo. Una vulnerabilidad de seguridad recientemente expuesta está poniendo en peligro a algunos usuarios, y eBay ha decidido emitir solo una solución parcial, en lugar de una completa.
Esto es lo que necesita saber sobre la vulnerabilidad, cómo funciona y cómo mantenerse seguro..
Contenido activo, XSS y estafas de eBay
La vulnerabilidad de seguridad particular en cuestión está vinculada a “contenido activo,” Qué vendedores pueden incrustar en sus anuncios. El contenido activo puede usar una variedad de tecnologías diferentes para hacer que la descripción de un elemento sea más interesante o útil: podría ser una pequeña aplicación Flash, un menú de JavaScript, una encuesta web o cualquier otra cosa que esté integrada e interactiva. En el anuncio que se muestra a continuación, se trata de un script llamado “xsellgalleryscript” que trata de conseguir que compres otros artículos del vendedor.
En la mayoría de los casos, el contenido activo es totalmente seguro. Es un poco molesto, pero seguro. Sin embargo, con las secuencias de comandos entre sitios (XSS) ¿Qué son las secuencias de comandos entre sitios (XSS) y por qué es una amenaza para la seguridad? ¿Qué son las vulnerabilidades de secuencias de comandos entre sitios? problema de seguridad del sitio web hoy. Los estudios han descubierto que son sorprendentemente comunes: el 55% de los sitios web contenían vulnerabilidades de XSS en 2011, según el último informe de White Hat Security, publicado en junio ... Lea más, un script que se encuentra en otro sitio se puede cargar en una página de eBay ese script podría ser cualquier cosa: podría descargar malware, intentar falsificar sus credenciales de usuario o crear otro tipo de caos. Por supuesto, como este ataque es bastante común, eBay utiliza filtros que intentan evitarlo..
Desafortunadamente, alguien encontró un camino a través de Utiliza una técnica llamada JSF * ck, una forma fascinante de escribir código JavaScript usando solo seis caracteres: [] ()! +. Con dos corchetes, dos paréntesis, un signo de exclamación y un signo más, puede crear y ejecutar cualquier código JavaScript.
Es un ejercicio divertido, como el lenguaje de programación Brainf ** k 10 lenguajes de programación que probablemente nunca has escuchado 10 lenguajes de programación que probablemente nunca hayas escuchado Hay algunos lenguajes de programación muy extraños y extraños que han puesto la lógica en la cabeza y aún así han logrado Manténgase fiel a la ciencia de la comunicación con una computadora. Vas a… Leer más. Pero también puede ser usado para obtener por los filtros de eBay..
Una firma de ciberseguridad llamada Check Point informó por primera vez sobre esta vulnerabilidad y declaró que podría usarse en el sitio de escritorio o mediante las aplicaciones iOS o Android para descargar malware o redirigir a los usuarios a páginas de phishing en las que podrían ceder inadvertidamente las credenciales del usuario. Aquí hay un video de un ataque en acción:
Check Point demostró e informó esta vulnerabilidad a eBay en diciembre de 2015, esperando que actualizaran su software para evitar la explotación. Según la BBC, eBay le dijo a Check Point en enero que no tenían planes para corregir la vulnerabilidad, pero que implementaron una solución parcial en febrero. ¿Por qué sólo una solución parcial?? “Es importante entender que el contenido malicioso en nuestro mercado es extraordinariamente raro,” eBay le dijo a la BBC.
A pesar de la insistencia de eBay en que el riesgo de este tipo de ataque es extremadamente bajo, la empresa de seguridad Netcraft informó que estaba siendo utilizada activamente para falsificar direcciones de correo electrónico de compradores potenciales. ¿Qué es exactamente el phishing y qué técnicas utilizan los estafadores? ¿Qué es exactamente el phishing y qué técnicas utilizan los estafadores? Yo nunca he sido fan de la pesca. Esto se debe principalmente a una expedición temprana en la que mi primo logró capturar dos peces mientras yo atrapaba a la cremallera. Al igual que la pesca en la vida real, las estafas de phishing no son ... Lea más y anímelos a completar el pago a través de un servicio de depósito en garantía falso. Y la estafa funcionó: Netcraft ha compartido capturas de pantalla de la petición de ayuda de un usuario molesto después de que eBay, la policía y su banco le informaron que no podían ayudarlo..
Cómo protegerse de la vulnerabilidad de XSS en eBay
Mientras eBay no solucione totalmente este problema, existe la posibilidad de que te encuentres en una lista que un estafador haya comprometido y te pongas en riesgo. Sin embargo, hay algunas cosas que puede hacer para disminuir el riesgo de que lo descubran..
Lo primero que debes hacer es asegurarte de que estás usando la capacidad de hacer clic para jugar en tu navegador. Chrome tiene esta capacidad incorporada, Firefox tiene la popular extensión NoScript y los usuarios de Safari pueden instalar JS Blocker 5. Esto evitará que se carguen los scripts a menos que usted les dé permiso específicamente. No debería tener que cargarlos en eBay, pero si lo hace, puede habilitarlos con un solo clic.
Si habilitas los complementos, tendrás que estar muy atento para asegurarte de que no te aprovechen. Cuando estés a punto de hacer clic en un Cómpralo ahora, Hacer oferta, o Oferta enlace en eBay, asegúrese de que la URL en su navegador sea ebay.com, y no otra cosa. Si estás siendo phishing, el dominio será algo distinto a ebay.com.
Si está utilizando una aplicación móvil de eBay, asegúrese de verificar la URL de cualquier página vinculada, especialmente si le solicita información de inicio de sesión de eBay. ¡Y no descargues ninguna otra aplicación! La aplicación de eBay no te animará a descargar otra cosa. Como dice Brian Krebs, uno de los mejores bloggers de seguridad, en sus 3 Reglas básicas para la seguridad en línea, si no lo buscó, no lo instale.!
Más allá de esto, es algo estándar de seguridad en el mercado en línea. Solo comuníquese a través del sitio web, y no a través del correo electrónico, sin importar qué. No haga clic en los enlaces de los correos electrónicos de eBay, solo vaya a ebay.com en caso de que el correo electrónico provenga de un estafador. Verifique si los enlaces en el sitio son seguros 8 maneras de asegurarse de que un enlace sea seguro antes de que lo haga clic 8 formas de asegurarse de que un enlace sea seguro antes de que lo haga Haga clic en los hipervínculos, como todos sabemos, son los hilos que conforman la web. Pero al igual que las arañas, la web digital puede atrapar a los desprevenidos. Incluso los más conocedores de nosotros hacen clic en los enlaces que ... Lea más antes de usarlos. Use una contraseña segura Cómo generar contraseñas seguras que coincidan con su personalidad Cómo generar contraseñas seguras que coincidan con su personalidad Sin una contraseña segura, podría encontrarse rápidamente en el extremo receptor de un ciberdelito. Una forma de crear una contraseña memorable podría ser hacerla coincidir con su personalidad. Lea más, y cámbielo regularmente. Todos los regulares “mantenerse a salvo” Los consejos que compartimos todo el tiempo también se aplican aquí..
No se deje atrapar por esta estafa de secuencias de comandos de sitios cruzados de eBay
Protegerse de las estafas en eBay 10 Estafas en eBay para estar al tanto de 10 Estafas en eBay para estar al tanto de ser estafado, especialmente en eBay. Invierte tanto tiempo en vender un producto o en investigar el artículo perfecto, completar la transacción y luego ... nada. ¿Sabes cuando estás siendo estafado? Leer más requiere un poco de vigilancia y un poco de prevención proactiva. Entre usar un navegador o una extensión de bloqueo de secuencias de comandos, observar URLs sospechosas y asegurarse de estar atento a descargas o solicitudes extrañas, debería estar completamente bien, incluso si eBay no soluciona esta vulnerabilidad (que probablemente no lo harán, Al menos un rato). Así que tome un par de pasos rápidos y vuelva a ahorrar toneladas de dinero comprando en eBay 10 consejos para comprar en eBay como un jefe 10 consejos para comprar en eBay como un jefe Estos 10 consejos de eBay lo ayudarán a optimizar su búsqueda y oferta para Ahorra mucho dinero en los artículos que estás buscando. Lee mas !
¿Compras en eBay? ¿Le preocupa su registro de no acción en vulnerabilidades de seguridad? ¿Es menos probable que compre allí porque no han respondido bien al informe de este error en particular?? Comparte tus pensamientos a continuación!
Créditos de imagen: hacker por Photosani a través de Shutterstock
Explorar más sobre: eBay, estafas.