25 Maggio 2020 - Tempo di lettura: 14 minuti
Quando si visita il sito eBay.com, viene eseguito uno script che esegue una scansione della porta locale del computer per rilevare il supporto remoto e le applicazioni di accesso remoto.
Molte di queste porte sono correlate agli strumenti di accesso/supporto remoto come Desktop remoto di Windows, VNC, TeamViewer, Ammy Admin e altro.
Dopo aver appreso questo, BleepingComputer ha condotto un test e può confermare che eBay.com sta effettivamente eseguendo una scansione delle porte locali di 14 porte diverse durante la visita del sito.
Questa scansione è condotta da uno script check.js [ archiviato ] su eBay.com che tenta di connettersi alle seguenti porte:
Oltre i link sopra citati, abbiamo copiato lo script anche in un file locale ospitato sui nostri gist Github, proprio per farne un backup sempre disponibile, ed evitare futuri link corrotti a seguito di eventuali cancellazioni da parte di eBay.com
Come si vede la porta di riferimento è la 63333, il cui programma target non è noto come per le altre porte, ma Spcnet.it ha condotto delle prime ricerche ed è emerso che 63333 viene utilizzata come porta di port forwarding locale standard per un tunnel SSH (rif).
Secondo Nullsweep, che per primo ha segnalato le scansioni delle porte, non si verificano durante la navigazione del sito con Linux.
Una volta testati in Windows, tuttavia, si sono verificate le scansioni delle porte.
Ciò ha senso poiché i programmi sottoposti a scansione sono tutti strumenti di accesso remoto di Windows.
Poiché la scansione delle porte cerca solo programmi di accesso remoto, è molto probabile che venga eseguita la ricerca di computer compromessi utilizzati per effettuare acquisti eBay fraudolenti.
Nel 2016, i rapporti di sicurezza sono stati inondati dal fatto che i computer delle persone venivano rilevati tramite TeamViewer e utilizzati per effettuare acquisti fraudolenti su eBay.
Poiché molti utenti eBay utilizzano i cookie per accedere automaticamente al sito, gli aggressori sono stati in grado di controllare in remoto il computer e accedere a eBay per effettuare acquisti.
È diventato così grave che una persona ha creato un foglio di calcolo per tenere traccia di tutti gli attacchi segnalati. Come puoi vedere, molti di loro fanno riferimento a eBay.
Queste scansioni delle porte sono comunque invadenti e non sono qualcosa che gli utenti vorrebbero subire quando visitano un sito.