Ebay scansiona le porte dei visitatori alla ricerca di accesso remoto

Ebay scansiona le porte dei visitatori alla ricerca di accesso remoto

Quando si visita il sito eBay.com, viene eseguito uno script che esegue una scansione della porta locale del computer per rilevare il supporto remoto e le applicazioni di accesso remoto.

Molte di queste porte sono correlate agli strumenti di accesso/supporto remoto come Desktop remoto di Windows, VNC, TeamViewer, Ammy Admin e altro. 

Dopo aver appreso questo, BleepingComputer ha condotto un test e può confermare che eBay.com sta effettivamente eseguendo una scansione delle porte locali di 14 porte diverse durante la visita del sito.

Questa scansione è condotta da uno script check.js [ archiviato ] su eBay.com che tenta di connettersi alle seguenti porte:

Oltre i link sopra citati, abbiamo copiato lo script anche in un file locale ospitato sui nostri gist Github, proprio per farne un backup sempre disponibile, ed evitare futuri link corrotti a seguito di eventuali cancellazioni da parte di eBay.com

Come si vede la porta di riferimento è la 63333, il cui programma target non è noto come per le altre porte, ma Spcnet.it ha condotto delle prime ricerche ed è emerso che 63333 viene utilizzata come porta di port forwarding locale standard per un tunnel SSH (rif).

Secondo Nullsweep, che per primo ha segnalato le scansioni delle porte, non si verificano durante la navigazione del sito con Linux.

Una volta testati in Windows, tuttavia, si sono verificate le scansioni delle porte.

Ciò ha senso poiché i programmi sottoposti a scansione sono tutti strumenti di accesso remoto di Windows.

Probabilmente fatto per rilevare computer compromessi

Poiché la scansione delle porte cerca solo programmi di accesso remoto, è molto probabile che venga eseguita la ricerca di computer compromessi utilizzati per effettuare acquisti eBay fraudolenti.

Nel 2016, i rapporti di sicurezza sono stati inondati dal fatto che i computer delle persone venivano rilevati tramite TeamViewer e utilizzati per effettuare acquisti fraudolenti su eBay.

Poiché molti utenti eBay utilizzano i cookie per accedere automaticamente al sito, gli aggressori sono stati in grado di controllare in remoto il computer e accedere a eBay per effettuare acquisti.

È diventato così grave che una persona ha creato un foglio di calcolo per tenere traccia di tutti gli attacchi segnalati. Come puoi vedere, molti di loro fanno riferimento a eBay.

Queste scansioni delle porte sono comunque invadenti e non sono qualcosa che gli utenti vorrebbero subire quando visitano un sito.

Posted on

Author L'autore

Dario Fadda alias {Nuke}

Da sempre appassionato di informatica e del mondo open-source nel 2003 ho fondato il portale Spcnet.it per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo dei computers, con particolare attenzione alle tematiche di Sicurezza informatica, Malware e Ransomware, ma anche guide di Programmazione e utili suggerimenti per tutte le fasce di interesse.
Dal 2006 sono membro del Gulch (Gruppo Utenti Linux Cagliari), con cui cerco di dare il mio contributo attivo per eventi e LinuxDay.
Su Twitter segnalo e condivido nuovi Phishing pericolosi con approfondimenti sul Bank Security.

Ho ideato Hacker Alert per effettuare ricerche di vulnerabilità e phishing in tempo reale.

Praticamente per tutto ciò che scopro e che è degno di nota ne condivido il codice sorgente su Git Hub.
Per tutto il resto c'è Dario Fadda .it che contiene "quasi" tutto di me.