ارسال‌های بدون اطلاع از طرف دارندگان یاهومیل

شاید شما هم یکی از قربانیان حملات چندین روز گذشته به یاهومیل باشید و یا از طرف دوستانی که یاهومیل دارند ایمیلهای مشکوکی دریافت کرده باشید. خود من طی دو هفته اخیر از طرف اکثر دوستانم که از یاهومیل استفاده می کنند چنین ایمیلهایی را دریافت کردم آنهم نه یکبار بلکه چندین بار! شاید حالا دوستان یاهودوست من روی پیشنهادم برای کوچ به جی میل بیشتر و جدی تر فکر کنند!

در حملات اخیر که برای یاهو بی سابقه نبود، ایمیلی برای فرد ارسال می‌شود که در آن شخص را تشویق به کلیک روی لینکی مشابه http://bit.ly/VniFRH می‌کند. این لینک یک نشانی خلاصه شده است و نشانی اصلی نامشخص است که در قالب این آدرس خلاصه شده است. وقتی فردی روی آن کلیک می‌کند به سایتی هدایت می‌شود که نشانی اصلی به طور خودکار جایگزین این نشانی خلاصه شده و کاربر به محل اصلی خرابکاری هدایت می‌شود. این محل یک نشانی از سایت MSNBC است که عموما در آن مقاله هایی با موضوع ورزش منتشر می شود. به محض ورود کاربر به این نشانی یک کد جاوااسکریپت به اجرا در می‌آید که تلاش می‌کند با استفاده از یک راه نفوذ شناخته شده در سرویس یاهومیل کاربر را دچار خطر کند.

این آسیب‌پذیری که به XSS مشهور است در تمام مرورگرهای امروزی قابل اجرا است. کد مخرب می کوشد تا به کوکی‌های کاربر دسترسی پیدا کند. از آنجایی که این آسیب‌پذیری در یک زیردامنه از سایت هدفی است که کاربر به آن‌جا هدایت می‌شود، هیچ مرورگری از دسترسی غیرمجاز به کوکی‌های کاربر جلوگیری نمی‌کند. به محض این که کوکی ورود به سایت یاهو به دست بدافزار بیافتد، خود را به فهرست دوستان شخص رسانده و ایمیلی آلوده را برای تمام دوستان قربانی ارسال می‌کند. چنین فرآیندی روی سرویس ایمیل گوگل که Gmail نام دارد کارساز نبود و بدافـزار نتوانست این سرویس را مورد حمله خود قرار دهـد.

این راه نفـوذ ابتـدا در هفتـم ژانویه امسال توسط یک هکر کشف شـد. این هکر در یک فایل ویدئویی نحوه انجام این کـار را نشان داد. یاهو بلافاصله اعلام کرد که پـس از بررسی و تایید این مشکل، آن را برطرف کرده است. یکروز بعد در هشتـم ژانویـه یـک تیم تحقیقـاتـی از شرکت Offensive Security نشان داد که آن مشکل همچنان پابرجاست. شرکت یاهو در یازدهم ژانویه گفت مشکل را در تمام نگارش‌های سایت برطرف کرده است اما در 28 و 30 ژانویه گزارش شد که دو کاربر از طریق آسیب‌پذیری XSS مورد حمله قرار گرفته‌اند که این بار آزمایشگاه Bitdefender نیز جزئیات بیشتری را از این آسیب‌پذیری منتشر کرد. بالاخره در 31 ژانویه یاهو دوباره اعلام کرد که مشکل را با کمک یک تیم امنیتی برطرف کرده است. یاهو به کاربرانش توصیه کرده است که کلمه عبور ایمیل خود را تغییر دهند. شما هم اگر در پوشه Sent خود دیدید که به تمام دوستانتان نامه‌ای بدون اطلاع شما ارسال شده است، حتما به توصیه یاهو گوش کنید.