Рассылка подозрительной ссылки на baidu.com всем моим контактам в Skype
3-го ноября 2016 года в 17:02 (по киевскому времени) почти все (54 из 65) мои контакты в Skype получили от меня подозрительную ссылку (причём в течение 1-2 минут и персонифицированную, т.е. содержащую уникальную часть для каждого адресата).
Ссылка была вида http://www.baidu.com/link?url=XXX#YYY=ZZZ
Где, XXX - некая сгенерированная строка из больших и маленьких латинских букв, цифр, подчёркивания и минуса, длиной 64 или 43 символа (например, "MdESBbLah5If-B1OHcb_GBB1BvC0fYBcO1Z5iWmTOIvHgZoCnTxKInNy4Y69yTGL" или "Zkyozvl2exh5lDu9EJ5-PNoyLjka8YP4dQUIEYLoV1y"), YYY - видимо тоже сгенерированная строка, но возможно и из словаря, потому что похоже на слова, но встречались и просто наборы цифр (например, "gonasydo", "sazulybu", "jwohj" или "83424").
В финале - самое интересное, ZZZ - это скайп-имя того, кому ссылка была отправлена.
Судя по сообщениям от некоторых перешедших по этой ссылке, после редиректов, она приводила на страницу, где якобы Стивен Хокинг рекламировал какие-то таблетки. Не знаю запускались ли в процессе редиректов или на итоговой странице какие-то опасные скрипты, были ли попытки инфицировать или получить доступ к каким-то данным, или может это спам с попыткой продвижения чудо-таблеток, а скайп-имена вставлялись просто для отслеживания какой-то статистики.
С подобной ситуацией я уже столкнулся за неделю до того - один мой скайп-контакт 26 октября 2016 21:57 прислал мне странную ссылку вида https://www.linkedin.com/slink?code=XXX#YYY=ZZZ, XXX = "f-qXmQu", YYY = "41236", ZZZ = моё скайп-имя (т.е. схема аналогичная, но linkedin вместо baidu и первый код XXX сильно покороче). Когда я позже с ним пообщался - оказалось, что он не отправлял ссылку, но она ушла всему контакт-листу, причём в указанное время он не был в онлайне в скайпе и более того - все его компьютеры (где он заходил этим скайпом) были выключены, скайп был только на телефоне (iPhone) и в спящем режиме (я видел его жёлтеньким).
Я же был в онлайне в момент массовой отправки от моего имени (на рабочем компьютере, причём на телефоне Skype я ни разу не использовал).
Понятное дело, что первым делом я бросился менять свой пароль на Skype. Потом отвечал на недоумение "осчастливленных" контактов. Потом начал гуглить.
На форуме community.skype.com я нашёл множество тем с аналогичными проблемами (например, Link to "baidu" website sent to all of my contacts.), очень многие жаловались, что их постигла эта проблема, спрашивали совета, делились соображениями, пытались проводить анализ ситуации и сделать выводы. При этом рекомендации от модераторов и поддержки Skype сводились к "смените пароль, используйте сложный и уникальный", "проверьте компьютер на вирусы", "включите двухфакторную верификацию для Microsoft аккаунта" (вот, например, прикреплённая вверху тема с рекомендациями недельной давности от community manager - Spam messages & links sent from your account?).
Главное для меня было понять почему это произошло, чтобы постараться избежать повторения в будущем и знать что посоветовать другим. Проверка компьютеров (домашнего и рабочего) на вирусы ничего не дала. Я не указывал своё скайп-имя ни в LinkedIn, ни в Facebook, ни на других порталах и аккаунтах, а тем более не вводил пароль от него (и никогда не поддавался на фейковые письма о необходимости залогиниться и ссылкой, маскирующейся под настоящую). Моё скайп-имя не совпадает с логинами на других сайтах (тот же LinkedIn, Facebook и т.п.). Единственное пересечение - привязка к одному e-mail. Но, если бы увели e-mail, то всё равно не могли бы узнать мой текущий пароль в Skype, пришлось бы инициировать его сброс через ссылку на почту и установить новый пароль, которого бы я понятное дело не знал и не мог бы войти в скайп, но пока я сам не сменил пароль - я входил в скайп и меня не выкидывало, потом логинился на сайт для смены пароля и меня тоже пускало, плюс на сайте e-mail в журнале входов и действий не было никаких подозрительных сессий за последнее время.
В процессе чтения всяческих рекомендаций я наткнулся на ссылку https://account.live.com/Activity где можно посмотреть активность по Microsoft аккаунту (оказалось, что всех пользователей Skype без их ведома сделали счастливыми обладателями Microsoft аккаунта), в процессе входа оно нашло мой другой Microsoft аккаунт (заводил для работы с Visual Studio, был привязан к тому же e-mail, что и Skype) и кажется связало их, в конце концов я увидел свою Skype-активность за последний месяц и за 2-3 минуты до рассылки был успешный вход с бразильского айпи через Firefox, судя по всему эта сессия и была источником массовой спам-рассылки (т.е. сообщение не отправлялось с моего компьютера; кстати, ещё одним подтверждением этого было то, что я не видел менюшки "удалить сообщение" даже учитывая, что на тот момент не прошло и 5 минут с момента отправки, а на соседнем сообщении эта менюшка была).
После чтения сотен сообщений на форуме community.skype.com могу выделить такую важную информацию:
- первые случаи [массовых рассылок странной персонализированной ссылки всему списку контактов] были зарегистрированы уже более года назад и повторяются регулярно по сей день;
- жертвы конечно же меняли свои пароли, но, как минимум некоторым, это не помогло и рассылка повторялась;
- проблема коснулась в том числе и тех, у кого были установлены уникальные и надёжные-стойкие (сгенерированные) пароли, а компьютеры надёжно защищены (антивирусами, файерволами и т.п.);
- некоторые жертвы на момент рассылки уже 3-4 года вообще никоим образом не пользовались Skype, не логинились в него (а тут шеф звонит и спрашивает "ты зачем гадкую ссылку прислал?");
- были жертвы использующие Skype только на Windows (как я), были только на Mac, были только на Android или только на iOS, были разные сочетания, не видно никакой избирательности по платформам;
- почти все жертвы не нашли никаких вирусов или malware после сканирования множеством разных антивирусов и утилит;
- многие в журнале активности находили успешный вход из неожиданной страны, некоторые - ещё парочку (несколько, не десятки и не сотни) неуспешных попыток входа до этого;
- были как люди которые впервые услышали о Microsoft аккаунте (т.е. всю жизнь пользуются только Mac, никакого отношения к Microsoft не имеют и очень удивляются, что у них есть Microsoft аккаунт), так и те, у которых есть аккаунты Outlook.com, Hotmail.com и др., которыми они активно пользуются;
- у некоторых рассылка включала отправки на пользователей, отсутствующих в списке контактов (у меня по истории сообщений первая отправка была на отсутствующее в списке контактов скайп-имя live, кто-то на форуме тоже упоминал его);
Понятное дело, что причины проблемы у жертв теоретически могли отличаться, но вот какие были выдвинуты и обсуждались возможные объяснения (в скобках возражения, контраргументы):
- сообщение отправил вирус на вашем компьютере-планшете-смартфоне-скайпе (в моём случае и многих других - точно нет, потому что отправка шла с другого айпи, скайп был выключен или даже не использовался годами, антивирусы ничего не нашли);
- украл скайп-имя и пароль вирус на вашем компьютере-планшете-смартфоне-скайпе, а рассылка шла с устройства злоумышленника (опять же антивирусы не нашли, много разных платформ - вирус должен быть очень мультиплатформенный и найти подходящие уязвимости на всех платформах, если скайп не использовался 3-4 года, то и украсть было невозможно или украли давно и ждали несколько лет);
- пароль был слишком простой и легко подбирался (у некоторых был очень сложный пароль, а у многих достаточно сложный, чтобы его нельзя было подобрать полным перебором, даже словарным, за вменяемое время, в журнале активности у большинства не было никаких следов перебора, обычно сразу был успешный вход);
- скайп-имя и пароль были украдены во время хакерских атак на другие порталы, как например: LinkedIn, Last.fm, Dropbox (моего скайп-имени и тем более пароля не было ни на каких ресурсах, во время обсуждения не было найдено общности жертв по указыванию своего скайп-имени где-то);
- во время хакерских атак на другие порталы украли логины+пароли от других ресурсов, но они же подошли и для Skype (моё скайп-имя отличается от логинов на всех других ресурсах, в числе жертв были обладатели уникального пароля, сгенерированного утилитой специально только для Skype);
- была атака именно на Skype и были украдены логины+пароли (представители Microsoft отрицают этот факт, у некоторых жертв проблема повторялась уже после смены пароля, выходит атаки и кражи должны были повторяться снова и снова);
- это какая-то уязвимость у Skype и/или Microsoft, возможно связанная с добавлением Skype-аккаунтов в Microsoft-аккаунты, которая даёт возможность логиниться в Skype кем угодно даже не зная пароль (представители Microsoft отрицают этот факт, но это единственное возражение и оно достаточно слабое, они могут не знать об уязвимости или знать, но специально скрывать сей факт, а такая причина достаточно хорошо объясняет практически все озвученные нюансы и симптомы и кажется мне вероятной, хотя и самой печальной, в том плане, что тогда все пользователи Skype в опасности и ничего сделать нельзя);
Какие выводы? В чём причина моей проблемы? "Есть ли жизнь на Марсе, нет ли жизни на Марсе - это науке неизвестно." (ц) После всех часов анализа и гугления - я не знаю. Но такие рекомендации мне кажутся разумными:
- Если вам прислали подобную ссылку (главный признак - ваше скайп-имя в самом конце), то не нужно по ней переходить.
- Если от вашего имени прошла рассылка, то немедленно смените пароль (и Skype и связанного e-mail или вообще привяжите Skype к другому e-mail) и просканируйте все устройства антивирусом, а лучше несколькими разными.
- Универсальные: устанавливайте заплатки к уязвимостям вашей операционной системы, имейте и держите включённым антивирус, не устанавливайте программы из ненадёжных источников, не переходите по подозрительным ссылкам, в том числе присланным по электронной почте, не вводите свои пароли на подозрительных сайтах, тщательно проверяйте адрес в адресной строке браузера, не открывайте подозрительные вложения в электронной почте, проверяйте антивирусом подключаемые флешки.
P.S. Для параноиков встречал рекомендации ресурсов, которые проверяют наличие логина, e-mail, имени в скомпрометированных данных (украденных при атаках на всевозможные порталы):
https://haveibeenpwned.com/
https://www.leakedsource.com/
Ссылка была вида http://www.baidu.com/link?url=XXX#YYY=ZZZ
Где, XXX - некая сгенерированная строка из больших и маленьких латинских букв, цифр, подчёркивания и минуса, длиной 64 или 43 символа (например, "MdESBbLah5If-B1OHcb_GBB1BvC0fYBcO1Z5iWmTOIvHgZoCnTxKInNy4Y69yTGL" или "Zkyozvl2exh5lDu9EJ5-PNoyLjka8YP4dQUIEYLoV1y"), YYY - видимо тоже сгенерированная строка, но возможно и из словаря, потому что похоже на слова, но встречались и просто наборы цифр (например, "gonasydo", "sazulybu", "jwohj" или "83424").
В финале - самое интересное, ZZZ - это скайп-имя того, кому ссылка была отправлена.
Судя по сообщениям от некоторых перешедших по этой ссылке, после редиректов, она приводила на страницу, где якобы Стивен Хокинг рекламировал какие-то таблетки. Не знаю запускались ли в процессе редиректов или на итоговой странице какие-то опасные скрипты, были ли попытки инфицировать или получить доступ к каким-то данным, или может это спам с попыткой продвижения чудо-таблеток, а скайп-имена вставлялись просто для отслеживания какой-то статистики.
С подобной ситуацией я уже столкнулся за неделю до того - один мой скайп-контакт 26 октября 2016 21:57 прислал мне странную ссылку вида https://www.linkedin.com/slink?code=XXX#YYY=ZZZ, XXX = "f-qXmQu", YYY = "41236", ZZZ = моё скайп-имя (т.е. схема аналогичная, но linkedin вместо baidu и первый код XXX сильно покороче). Когда я позже с ним пообщался - оказалось, что он не отправлял ссылку, но она ушла всему контакт-листу, причём в указанное время он не был в онлайне в скайпе и более того - все его компьютеры (где он заходил этим скайпом) были выключены, скайп был только на телефоне (iPhone) и в спящем режиме (я видел его жёлтеньким).
Я же был в онлайне в момент массовой отправки от моего имени (на рабочем компьютере, причём на телефоне Skype я ни разу не использовал).
Понятное дело, что первым делом я бросился менять свой пароль на Skype. Потом отвечал на недоумение "осчастливленных" контактов. Потом начал гуглить.
На форуме community.skype.com я нашёл множество тем с аналогичными проблемами (например, Link to "baidu" website sent to all of my contacts.), очень многие жаловались, что их постигла эта проблема, спрашивали совета, делились соображениями, пытались проводить анализ ситуации и сделать выводы. При этом рекомендации от модераторов и поддержки Skype сводились к "смените пароль, используйте сложный и уникальный", "проверьте компьютер на вирусы", "включите двухфакторную верификацию для Microsoft аккаунта" (вот, например, прикреплённая вверху тема с рекомендациями недельной давности от community manager - Spam messages & links sent from your account?).
Главное для меня было понять почему это произошло, чтобы постараться избежать повторения в будущем и знать что посоветовать другим. Проверка компьютеров (домашнего и рабочего) на вирусы ничего не дала. Я не указывал своё скайп-имя ни в LinkedIn, ни в Facebook, ни на других порталах и аккаунтах, а тем более не вводил пароль от него (и никогда не поддавался на фейковые письма о необходимости залогиниться и ссылкой, маскирующейся под настоящую). Моё скайп-имя не совпадает с логинами на других сайтах (тот же LinkedIn, Facebook и т.п.). Единственное пересечение - привязка к одному e-mail. Но, если бы увели e-mail, то всё равно не могли бы узнать мой текущий пароль в Skype, пришлось бы инициировать его сброс через ссылку на почту и установить новый пароль, которого бы я понятное дело не знал и не мог бы войти в скайп, но пока я сам не сменил пароль - я входил в скайп и меня не выкидывало, потом логинился на сайт для смены пароля и меня тоже пускало, плюс на сайте e-mail в журнале входов и действий не было никаких подозрительных сессий за последнее время.
В процессе чтения всяческих рекомендаций я наткнулся на ссылку https://account.live.com/Activity где можно посмотреть активность по Microsoft аккаунту (оказалось, что всех пользователей Skype без их ведома сделали счастливыми обладателями Microsoft аккаунта), в процессе входа оно нашло мой другой Microsoft аккаунт (заводил для работы с Visual Studio, был привязан к тому же e-mail, что и Skype) и кажется связало их, в конце концов я увидел свою Skype-активность за последний месяц и за 2-3 минуты до рассылки был успешный вход с бразильского айпи через Firefox, судя по всему эта сессия и была источником массовой спам-рассылки (т.е. сообщение не отправлялось с моего компьютера; кстати, ещё одним подтверждением этого было то, что я не видел менюшки "удалить сообщение" даже учитывая, что на тот момент не прошло и 5 минут с момента отправки, а на соседнем сообщении эта менюшка была).
После чтения сотен сообщений на форуме community.skype.com могу выделить такую важную информацию:
- первые случаи [массовых рассылок странной персонализированной ссылки всему списку контактов] были зарегистрированы уже более года назад и повторяются регулярно по сей день;
- жертвы конечно же меняли свои пароли, но, как минимум некоторым, это не помогло и рассылка повторялась;
- проблема коснулась в том числе и тех, у кого были установлены уникальные и надёжные-стойкие (сгенерированные) пароли, а компьютеры надёжно защищены (антивирусами, файерволами и т.п.);
- некоторые жертвы на момент рассылки уже 3-4 года вообще никоим образом не пользовались Skype, не логинились в него (а тут шеф звонит и спрашивает "ты зачем гадкую ссылку прислал?");
- были жертвы использующие Skype только на Windows (как я), были только на Mac, были только на Android или только на iOS, были разные сочетания, не видно никакой избирательности по платформам;
- почти все жертвы не нашли никаких вирусов или malware после сканирования множеством разных антивирусов и утилит;
- многие в журнале активности находили успешный вход из неожиданной страны, некоторые - ещё парочку (несколько, не десятки и не сотни) неуспешных попыток входа до этого;
- были как люди которые впервые услышали о Microsoft аккаунте (т.е. всю жизнь пользуются только Mac, никакого отношения к Microsoft не имеют и очень удивляются, что у них есть Microsoft аккаунт), так и те, у которых есть аккаунты Outlook.com, Hotmail.com и др., которыми они активно пользуются;
- у некоторых рассылка включала отправки на пользователей, отсутствующих в списке контактов (у меня по истории сообщений первая отправка была на отсутствующее в списке контактов скайп-имя live, кто-то на форуме тоже упоминал его);
Понятное дело, что причины проблемы у жертв теоретически могли отличаться, но вот какие были выдвинуты и обсуждались возможные объяснения (в скобках возражения, контраргументы):
- сообщение отправил вирус на вашем компьютере-планшете-смартфоне-скайпе (в моём случае и многих других - точно нет, потому что отправка шла с другого айпи, скайп был выключен или даже не использовался годами, антивирусы ничего не нашли);
- украл скайп-имя и пароль вирус на вашем компьютере-планшете-смартфоне-скайпе, а рассылка шла с устройства злоумышленника (опять же антивирусы не нашли, много разных платформ - вирус должен быть очень мультиплатформенный и найти подходящие уязвимости на всех платформах, если скайп не использовался 3-4 года, то и украсть было невозможно или украли давно и ждали несколько лет);
- пароль был слишком простой и легко подбирался (у некоторых был очень сложный пароль, а у многих достаточно сложный, чтобы его нельзя было подобрать полным перебором, даже словарным, за вменяемое время, в журнале активности у большинства не было никаких следов перебора, обычно сразу был успешный вход);
- скайп-имя и пароль были украдены во время хакерских атак на другие порталы, как например: LinkedIn, Last.fm, Dropbox (моего скайп-имени и тем более пароля не было ни на каких ресурсах, во время обсуждения не было найдено общности жертв по указыванию своего скайп-имени где-то);
- во время хакерских атак на другие порталы украли логины+пароли от других ресурсов, но они же подошли и для Skype (моё скайп-имя отличается от логинов на всех других ресурсах, в числе жертв были обладатели уникального пароля, сгенерированного утилитой специально только для Skype);
- была атака именно на Skype и были украдены логины+пароли (представители Microsoft отрицают этот факт, у некоторых жертв проблема повторялась уже после смены пароля, выходит атаки и кражи должны были повторяться снова и снова);
- это какая-то уязвимость у Skype и/или Microsoft, возможно связанная с добавлением Skype-аккаунтов в Microsoft-аккаунты, которая даёт возможность логиниться в Skype кем угодно даже не зная пароль (представители Microsoft отрицают этот факт, но это единственное возражение и оно достаточно слабое, они могут не знать об уязвимости или знать, но специально скрывать сей факт, а такая причина достаточно хорошо объясняет практически все озвученные нюансы и симптомы и кажется мне вероятной, хотя и самой печальной, в том плане, что тогда все пользователи Skype в опасности и ничего сделать нельзя);
Какие выводы? В чём причина моей проблемы? "Есть ли жизнь на Марсе, нет ли жизни на Марсе - это науке неизвестно." (ц) После всех часов анализа и гугления - я не знаю. Но такие рекомендации мне кажутся разумными:
- Если вам прислали подобную ссылку (главный признак - ваше скайп-имя в самом конце), то не нужно по ней переходить.
- Если от вашего имени прошла рассылка, то немедленно смените пароль (и Skype и связанного e-mail или вообще привяжите Skype к другому e-mail) и просканируйте все устройства антивирусом, а лучше несколькими разными.
- Универсальные: устанавливайте заплатки к уязвимостям вашей операционной системы, имейте и держите включённым антивирус, не устанавливайте программы из ненадёжных источников, не переходите по подозрительным ссылкам, в том числе присланным по электронной почте, не вводите свои пароли на подозрительных сайтах, тщательно проверяйте адрес в адресной строке браузера, не открывайте подозрительные вложения в электронной почте, проверяйте антивирусом подключаемые флешки.
P.S. Для параноиков встречал рекомендации ресурсов, которые проверяют наличие логина, e-mail, имени в скомпрометированных данных (украденных при атаках на всевозможные порталы):
https://haveibeenpwned.com/
https://www.leakedsource.com/