Un grup global de hacking a preluat subdomeniile Epic Games, apoi problema a fost maturata sub covor de Epic Games.
La sfarsitul lunii martie 2020, Epic Games a postat pe contul lor de Twitter o recompensa de 1 milion de dolari pentru ca oricine sa ofere informatii despre orice astroturfing corporativ care raspandeste zvonuri despre Epic Games, in special in ceea ce priveste utilizatorii House Party ai Epic Games care se plang de faptul ca au fost piratati.
Aceasta recompensa neobisnuita de „frotiu comercial” a fost acoperita de o varietate de reporteri, cu o cantitate limitata de fapte disponibile, in afara de utilizatorii Twitter aleatori care s-au plans ca au fost piratati.
Dupa ce recompensa a fost emisa, House Party a inceput sa revina si a sustinut ca Twitter a respins ca exista utilizatori neautentici care raspandesc zvonurile. Twitter a furnizat un comentariu unui articol Buzzfeed despre poveste, afirmand: „Nu am vazut nicio activitate coordonata legata de conversatii despre Houseparty, dar continuam sa o supraveghem”.
Dupa ce recompensa a fost emisa, am tras rapid pagina de conectare web pentru a-mi da seama de securitatea lor – am fost rapid socat de lipsa lor de protectie pentru utilizatori si am trimis un scurt detaliu despre lipsa „Politicii de securitate a continutului” (CSP) ) solicitati anteturi pentru formularul de conectare care ar preveni atacurile de phishing MiiM – formularul lor de conectare ar putea fi incorporat pe un site web terta parte fara ca acesta sa se rupa:
Dupa ce am trimis pe Twitter acel detaliu, mi-am dat seama ca se intampla ceva mult mai rau cu Houseparty si am scris un raport si am incercat sa il trimit la e-mailul lor [email protected] care a fost lansat presei. Cateva zile mai tarziu, e-mailul pe care i l-am trimis a primit raspuns si mi s-a spus ca, pentru ca House Party sa imi trieze biletul, va trebui sa il trimit prin programul lor preferat de recompensa pentru bug-uri gazduit de HackerOne.
Am trimis din nou detaliile biletului meu si am semnalat in mod vizibil unul dintre subdomeniile Epic Games House Party care fusesera preluate, aratau astfel:
http: // nyc3-prod-worker-138-197-97-151.ms. thehousepartyapp.com /lib8/schafzucht.pdf?web=nyc3-prod-worker-138-197-97-151.ms.thehousepartyapp.com
Au existat zeci de subdomenii similare compromise de atacatori si puteti vedea in continuare unele programe malware de redirectionare pe care le-au incarcat prin cautari Google – aceasta a fost din 18 mai 2020 (linkurile sunt rupte, dar continutul cache poate fi vizualizat):
Daca deschideti oricare dintre aceste fisiere cache care par a fi PDF-uri in memoria cache Google, veti vedea detalii de text aleatorii si apoi linkuri directe catre mai multe fisiere PDF intr-un domeniu compromis – aceste linkuri profunde imping paginile in rezultatele cautarii si practic sunt o tehnica de optimizare SEO-malware. Cand paginile erau live, toate au declansat redirectionari PHP catre domenii noi – aceste redirectionari PDF-> URL ale paginii sunt vizibile pe internet pe alte zeci de domenii compromise, mai multe detalii mai jos.
Iata o captura de ecran a uneia dintre paginile compromise ale Epic Games si solicitarile suplimentare care se leaga de alt continut compromis din subdomeniile Epic Games – Veti vedea, de asemenea, evidentiat aici un sir care face referire la un domeniu unic – acest sir va poate ajuta sa gasiti alte site-uri web compromise in reteaua acestui atacator:
Daca luati sirul de mai sus „529591ebd919b17db88db909e28a8” si apoi Google acest sir, veti gasi alte 29 de domenii compromise care au acelasi sir PDF:
Un proces similar poate fi realizat in toate PDF-urile rau intentionate (poisonPDF) care au fost incarcate in subdomeniile compromise ale jocurilor Epic – si atacatorii au scris chiar mesaje pentru a-l juca pe Epic Games ca acesta in Lola PDF: „Mai degraba decat sa te bucuri de o carte buna cu o ceasca de ceai dupa-amiaza, in schimb, jonglau cu un virus rau intentionat in computerul de pe desktop . ”
Desi nu am citit cartea Lola, sunt suficient de familiarizat cu continutul si cand a fost scris pentru a presupune ca cartea nu include nicio referinta la un „virus rau intentionat in computerul lor de birou”.
Acest sir este, de asemenea, util pentru gasirea altor domenii compromise – o cautare rapida a portiunii initiale a acelui sir arata ca exista chiar mai multe versiuni ale aceleiasi propozitii, traduse usor diferit. Puteti vedea aceste rezultate si domenii mai compromise:
O mare parte din cele 44 de domenii din acest rezultat al cautarii sunt inca compromise, iar unele dintre ele au liste cu toate PDF-urile compromise – daca faceti clic pe oricare dintre aceste linkuri, veti fi redirectionati catre redirectionari rau intentionate si as solicita cu tarie sa fiu extrem de atent sa nu vizitand doar acest domeniu de nivel superior, dar facand clic pe orice legaturi precum (AVERTISMENT: http: //www.cloudpeakenergy (.) com /)
De asemenea, trebuie remarcat faptul ca in rezultatele de mai sus, unul dintre poisonPDF-urile este pentru „Regulile de ordine ale lui Roberts” – este important sa intelegem ca aceasta carte este folosita de politicieni, autoritati de reglementare, persoane responsabile de sedinte deschise si atacatorii ar sti ca oricine cauta versiuni gratuite ale acestei carti ar fi probabil o persoana VIP care ar putea fi conectata la politicieni sau la decizii politice – asa ca astfel de atacatori isi arata sofisticarea politica prin crearea unor retele intregi de poisonPDF-uri pentru copii electronice gratuite ale „Regulilor ordinii Roberts”.
Maimi.edu a fost unul dintre domeniile care s-a lovit din timp si au avut peste 100.000 de fisiere gazduite pe subdomeniul lor compromis inainte de a fi remediat:
Ori de cate ori accesati unul dintre subdomeniile deturnate si „fisierele” / paginile lor de pe acestea, veti fi impins intr-o redirectionare si lasat intr-o serie de site-uri web care probabil sunt detinute de acelasi grup criminal. Domeniile arata ca:
Pagina de destinatie daunatoare de la @ (AVERTISMENT: https: // readisthe (.) Best / downloads / roberts-rules-or-order-11th edition)
Daca ramaneti pe aceste pagini suficient de mult sau faceti clic pentru a va inregistra acum, veti fi directionat catre un domeniu nou care solicita inscrieri – aceste site-uri web exista pentru carti electronice, servicii de streaming video si o mare varietate de site-uri web care promit „Free Media / Downloads / Books” / Filme etc ”- iata una dintre paginile de destinatie din aceasta inselatorie de redirectionare specifica:
Inscriere rau intentionata de la @ (AVERTISMENT: https: // my-ebooks (.) Club / books / signup-spry / # / z = FewwkXjXsa2CjiD25Fqnsh / theme = default / q = Roberts + Rules + Or + Order + 11th + Edition / s1 = / s2 = / s3 = / s4 = / s5 = / source_id = 443ed029-2269-503a-ee44-3a36418e5189 / project = yYMfRn / mh_offer_id = / dp = 36WOjCfD8VJfXttshhErUe / m = / c_bg = / c_im = = / sursa = Recomandare / software = Browser / domeniu = cdn.bkc1a (.) club /)
Exista retele masive ale acestor site-uri web – toate au mesaje similare, promisiuni similare si sunt probabil utilizate pentru forme complicate de frauda a cardului de credit si deturnari de cont pentru parole refolosite:
Pe aceasta pagina de inscriere pentru afiliati, este una dintre putinele pagini din aceste retele de atacatori care, de fapt, este folosita probabil pentru a inscrie noi parteneri. Si chiar si spammerii doresc sa-si cunoasca ratele de conversie, astfel incat persoanele care au configurat aceasta retea si-au incorporat codul de urmarire real de la Matomo Tag Manager si alte cateva siruri unice pot fi utilizate pentru a-si gasi celelalte active. Sirul de etichete Matomo care descopera mai mult din munca lor este: https: // collection (.) Click / js / container_ecko3JmF.js
Acest sir – fara (.) Inclus mai sus – poate fi cautat si mai multe dintre cartile lor electronice / spam de redirectionare descoperite – unele dintre ele capturate de companiile antivirus:
Si site-uri aproape identice pot fi gasite folosind siruri de caractere pe aceste pagini:
Unele dintre aceste domenii pot fi cautate pe SecurityTrails.com si veti gasi subdomenii pe ele care sunt mapate la retele mai mari ale acestor domenii deturnate – domeniile par a fi inregistrate / gazduite prin „Serverius Holding BV” ceea ce face mai usor confirmarea ca cele 134 de domenii inregistrate si gazduite pe adresa IP 37.1.223.152 de pe aceasta lista sunt domeniile de baza din reteaua lor, pe care le conecteaza la subdomeniile deturnate pentru inselaciunile lor de redirectionare:
Aceste domenii au toate aceleasi inscrieri afiliate si escrocherii de redirectionare care au fost evidentiate mai sus in celelalte domenii de baza:
Pe aceste pagini, fonturile web sunt solicitate de la „webfonts.ru” – acest detaliu si alte detalii indica o retea in limba rusa din spatele acestor deturnari:
Aceste site-uri se concentreaza puternic pe carti electronice, streaming gratuit de filme si alte servicii „media gratuite” care ar pacali un utilizator sa creeze conturi rapid – au si site-uri web precum „hd-stream (.) Club” care pare sa vizeze fanii fotbalului – daca faceti clic pe acel site pentru a vizualiza oricare dintre fluxurile live, veti fi redirectionat catre un alt site din reteaua lor cu o adresa URL ca @
https: // () my-sports (.) club / sports / signup-dual / – / # / z = yhuuIk3ZOQofMgGkUOfQ6Z / theme = default / q = / s1 = / s2 = / s3 = / s4 = / s5 = / SOURCE_ID = e7f60728-784f-e3dc046d292b dd02-117d / proiect = 1M5iou / mh_offer_id = / dp = gTtt4NObPRkknNLoJfIss9 / m = / c_bg = / c_img1 = / c_img2 = / c_color = / sursa = Direct / software – ul = browser / domeniu = CDN. spba7 (.) club /
Aceste pagini de destinatie „Inregistrati-va pentru a porni fluxul HD live” ar insela probabil unii utilizatori sa creeze parole simple pe care le-au folosit pe alte site-uri web:
Linkul de mai sus din subsol pentru „Afiliati” – cand faceti clic, duce utilizatorii la o pagina de inscriere a afiliatilor foarte familiara:
In codul sursa al site-ului My-sports.club, exista o referinta la acest domeniu „cdn.spba7.club” – in toate aceste retele din codul sursa / metadate exista domenii suplimentare la care se face referire. O mare parte din aceste domenii, atunci cand sunt introduse in bara URL, redirectioneaza catre „webtools.media”, care este o platforma construita SPECIFIC pentru a redirectiona utilizatorii catre pagini web / site-uri web unice in functie de tara lor de origine. Acesta este modul in care un utilizator din Statele Unite ar fi redirectionat catre un anumit domeniu, iar cineva din Marea Britanie ar putea fi redirectionat catre un alt domeniu. Acest tip de orchestratie este utilizat de toti operatorii sofisticati pentru a incerca sa-si ascunda munca de auditorii americani sau de auditorii despre care stiu ca exista in anumite tari.
maduras españolas sexo viejas feas
videos guarros sexo gratis incesto
compartiendo novia putas en vic
porno sin censura descargar peliculas porno español
potno folladas caseras reales
tetonas gratis pajas en español
videos xxx violadas coños ricos
Prin simpla concentrare a redirectionarilor rau intentionate asupra anumitor utilizatori si nu asupra altora,
Domeniile enumerate @ https://securitytrails.com/list/ip/37.1.223.152 au o mare varietate de aceste site-uri de phishing – toate promit continut de inalta calitate cu site-uri web cu aspect slick, cum ar fi:
Puteti vizualiza o foaie Google a acestor domenii doar in cazul in care acestea dispar, aici. Fiti foarte atenti cu aceasta lista – nu vizitati aceste site-uri decat daca sunteti constienti de riscuri si incercati in mod intentionat sa va expuneti la aceste riscuri.
Dupa cum sa mentionat mai sus, o gama larga de subdomenii au fost deturnate pe „TheHousePartyApp.com” – care este detinut de Epic Games.
Primul lucru pe care ar trebui sa-l observati este ca subdomeniile care au fost compromise se aflau pe domeniul „TheHousePartyApp.com” – domeniul de baza pentru House Party este „HouseParty.com”, dar puteti vedea in aceasta captura de ecran de mai jos ca „app.houseparty Pagina de autentificare .com ”avea o politica de securitate a continutului care permitea trimiterea codului de pe„ wss: //*.thehousepartyapp.com ”si„ https: //*.thehousepartyapp.com ”// A doua intrare acolo cu„ *. thehousepartyapp.com ”are un asterisc„ * ”in campul subdomeniului – aceasta este o intrare„ catch-all ”si orice subdomeniu de pe thehousepartyapp.com avea apoi privilegii ridicate de a declansa codul javascript in fereastra / pagina din HouseParty.com pagina de logare:
Detaliile de mai sus, cu politica CSP + vulnerabilitatea care exista pe pagina de autentificare, au fost trimise echipei Epic Games, care a sustinut ca, deoarece subdomeniile deturnate nu aveau cod de la Epic Games, cumva acele subdomenii erau sigure. Ei au scris:
Va multumim din nou pentru ca ati contactat, toate aceste inregistrari ar trebui acum curatate si punem la dispozitie controale pentru a aborda viitoarele preluari. Doriti sa confirmati ca nu am ratat nicio inregistrare inainte de a rezolva acest lucru?
…
De asemenea, las acest lucru intr-un mediu, deoarece acesta a fost rezultatul unor IP-uri vechi pe care le-a mostenit un nou utilizator, mai degraba decat un compromis al infrastructurii noastre. Daca aveti alte intrebari, va rugam sa ne anuntati! Dupa ce confirmati, voi inchide acest lucru.
Am intrebat daca mi-au citit biletul si m-am intrebat daca inteleg riscul pentru utilizatori, mi-au raspuns:
In ceea ce priveste schimbarea severitatii. Acest raport a fost initial trimis sub impresia ca mediul nostru a fost compromis si, ca urmare, un actor rau a preluat activ subdomeniile. Am confirmat ca nu este cazul si ca subdomeniile in cauza indicau inregistrarile DNS abandonate, care la randul lor au fost mostenite automat de o terta parte care gazduia carti electronice . Nu am gasit nicio indicatie a unui compromis vizat.
Investigam constatarile dvs. pe api2.thehousepartyapp.com. Puteti trimite o trimitere separata, pentru a putea urmari acest lucru? Orice POC suplimentar pe care il aveti pentru acest lucru ar fi foarte apreciat. Atata timp cat respectiva comunicare respecta practicile de divulgare responsabila, o putem transfera in programul nostru de recompense si putem acorda recompensa corespunzatoare.
Am mai pus la indoiala echipa Epic Games si referinta lor la o „terta parte care gazduia carti electronice” – apoi au raspuns cu:
Domeniul pe care l-ati enumerat este un subdomeniu al thehousepartyapp.com, care este un domeniu pe care il detinem. Acesta este unul dintre subdomeniile care au fost abordate in aceasta prezentare. Continutul care a fost gazduit acolo nu a fost gazduit de noi. Un tert a mostenit adresa IP pe care HouseParty o detinea anterior, inregistrarea DNS asociata cu acel IP nu a fost niciodata eliminata, motiv pentru care acel subdomeniu se indrepta inca catre IP-ul in cauza.
Chiar daca un subdomeniu detinut de noi indica un punct final, asta nu inseamna ca punctul final este gazduit de noi. De exemplu, foo.houseparty.com ar putea fi directionat catre Google, dar nu gazduim continutul Google. HackerOne are o scriere excelenta despre preluarile subdomeniului disponibile aici.
Am pus sub semnul intrebarii intelegerea lor asupra preluarilor subdomeniului si au raspuns cu mai multe avertismente:
Aceasta problema a fost discutata si investigata de echipa Epic Games, iar concluzia este ca, in afara de faptul ca continutul nelegitim ar putea fi gazduit de aceasta terta parte, exploatarea ulterioara era mult mai putin probabila.
Ati mentionat preluarea subdomeniului de ordinul doi si, pentru ca acest lucru sa se intample, domeniul A, despre care presupun ca va referiti la domeniul parinte, http://thehousepartyapp.com/, ar trebui sa importe unele resurse din domeniul B, cel afectat subdomeniu. Nu este cazul aici. Preluarea unui subdomeniu in sine nu inseamna in mod direct ca domeniul parinte ar fi afectat. Exista factori de atenuare care intra in loc si fac ca exploatarea sa fie putin probabila.
In acest caz in mod specific, datorita naturii relatiei dintre domeniul parinte si subdomeniul afectat, exploatarea in continuare nu ar fi posibila. Nu sunt setate cookie-uri in subdomeniul afectat si posibilitatea de a le citi / scrie in domeniul parinte nu ar face, de asemenea, exploatarea posibila, deoarece, din punct de vedere al sesiunii, domeniul parinte nu se bazeaza pe cookie-urile de sesiune pentru autentificare.
De asemenea, este important sa retineti ca, atunci cand se trateaza vulnerabilitatile de securitate din domeniul recompenselor de erori, dovezile exploatarii, impreuna cu o dovada a conceptului care utilizeaza problema catre un scenariu practic de exploatare, sunt de cea mai mare importanta. Chiar daca ati subliniat ca unele indicatoare de subdomenii au fost lasate suspendate si ca o terta parte gazduia continut pentru acele active, orice altceva este pur teoretic.
Toate cele de mai sus au ca rezultat scaderea severitatii problemei si motivul pentru care nu a avut un impact potential atat de sever pentru Epic Games pe cat ar fi parut initial. Speram ca acest lucru va ajuta la explicarea situatiei si a modului in care echipa a ajuns la concluzia lor.
… si a scris si:
Prima discutie este legata de problemele tehnice pe care le-ati trimis. Acestea fiind ca exista un numar de indicatori de subdomeniu care nu au fost actualizati si care indicau o adresa IP acum controlata de o alta organizatie si structura permisiva a cookie-urilor din CSP. Aceasta conversatie este relevanta pentru trimiterea dvs. catre platforma HackerOne si, cu informatiile pe care le-ati furnizat, echipa Epic Games a evaluat impactul si a eliminat intrarile DNS abandonate identificate in raportul dvs. De asemenea, echipa a identificat si eliminat intrari suplimentare care nu mai sunt folosite pe platforma HouseParty. Epic Games implementeaza instrumente suplimentare pentru a aborda subdomeniile retrase si evalueaza actualizarile CSP pe app.houseparty.com. Pentru a fi clar, aceste subdomenii nu au fost create cu rautate de catre un atacator, au fost create de echipa HouseParty si nu au fost deprovisionate cand au fost inlocuite. Echipa Epic Games nu a gasit nicio indicatie de exploatare a intrarilor DNS pe care le-ati identificat si nici alte intrari suplimentare identificate de echipa.
Fluxul standard al modului in care functioneaza raportarea pe platforma HackerOne este ca un hacker ofera o dovada a conceptului pentru o problema de securitate si cum ar putea fi reprodusa. Apoi, echipa de securitate a unei organizatii analizeaza intern impactul constatarii si ia toate actiunile adecvate. In acest caz, orice vulnerabilitati de securitate legate de constatarea dvs. sunt teoretice din punctul dvs. de vedere, a ceea ce s-ar putea face, nu a ceea ce a fost dovedit. Exista o multime de discutii in acest raport, asadar, daca puteti, va rugam sa furnizati o noua nota tehnica despre orice dovada a faptelor gresite pe care ati putut sa o identificati si vom fi fericiti sa luam in considerare acest lucru.
Ca o nota secundara, problema pe care ati mentionat-o referitoare la api2.thehousepartyapp.com pare a fi o problema separata, iar echipa Epic Games va incurajeaza sa o trimiteti separat la programul de pe HackerOne. Acestia vor fi bucurosi sa o evalueze separat, va rugam sa retineti ca aceasta trimitere trebuie sa urmeze dezvaluirea responsabila pentru a se califica pentru o recompensa pe HackerOne.
Am numit atacatorii care comit aceasta lucrare „Pickaflick.com Crew” datorita faptului ca au operat diverse escrocherii pe carduri de credit de un deceniu sau mai mult (si au fost denumiti in trecut) – le puteti vedea site-ul vechi „PickaFlick.com” @ http://web.archive.org/web/20140121175615/http://pickaflick.com/
Aceasta organizatie poate fi proiectata invers folosind unele dintre sirurile din aceasta cercetare si multe altele – trebuie sa intelegem ca intreaga arhitectura este probabil construita doar de cativa oameni super organizati care folosesc orchestratia PHP pentru a-si automatiza frauda – aceasta automatizare scurge siruri comune peste medii. Puteti gasi siruri in PDF-uri si puteti gasi cu usurinta alte domenii compromise, cum ar fi aceasta cautare, care are 8.440 de rezultate:
https://www.google.com/search?q=%2258831883288308839%22
Unele dintre aceste domenii si-au reparat SPAM-ul de redirectionare de la echipajul PickaFlick, dar multe nu au …
Program malware PHP personalizat pentru domenii speciale de la echipajul PickaFlick
Unele dintre domeniile de mai sus au implicat utilizatori din domenii foarte mari si, din aceasta cauza, unele dintre aceste solicitari au fost, din fericire, capturate de URLscan cu cateva luni in urma – acest lucru ajuta la dovedirea faptului ca grupul are malware PHP personalizat pe care il livreaza anumitor domenii.
Universitatea din Toronto este un bun exemplu in acest sens – subdomeniul „Giving.Utoronto.ca” a fost compromis pentru o perioada semnificativa de timp si mii de PDF-uri au fost incarcate si memorate in cache in cautarea Google pentru ca utilizatorii sa le gaseasca:
100% din adresele URL ale subdomeniului Giving sunt acum rupte (dar rezultatele memorate in cache sunt usor de gasit) – dar datorita volumului de trafic care a fost impins prin aceste subdomenii, la un moment dat, puteti gasi versiuni cache ale acestor pagini in URLscan.io iar aceste solicitari arata ca aceasta retea de frauda PHP a avut capacitatea de a injecta un captcha PHP fals in pagini si URL-ul redirectioneaza catre pachetele de analize Yandex rusesti compromise pentru a urmari deschiderile:
Better Business Bureau are o pagina web pentru PickaFlick care include reclamatii din 2017 si 2019, utilizatorii plangandu-se de taxe frauduloase foarte mici pe cardul de credit si compania care solicita copii ale extraselor cardului de credit si ale cardului de debit pentru a elimina taxele:
In mai 2017, WMC5 Action News si ScamAdvisor.com au facut o investigatie asupra PickaFlick.co (grupul a folosit initial „PickaFlick.com”, dar s-a schimbat in urma cu aproximativ 5 ani, conform Way Back Machine) – si anchetatorii au descoperit ca sunt escroci. – si au ridicat intrebari foarte serioase cu privire la faptul daca aceste retele au fost folosite pentru a trimite carduri de credit false si, prin impingerea utilizatorilor reali in aceste retele, cardurile de credit furate si tranzactiile ar putea fi ascunse in randul utilizatorilor reali care din greseala s-au inscris.
Cateva detalii din articolul legat mai sus:
Aceeasi inselatorie a fost evidentiata de OnlineThreatAlerts.com in 2017, unde l-au numit „Un site de streaming online fraudulos” si au continuat sa conecteze lucrarea la mai multe retele similare:
„Www.pickaflick.co” este un site de difuzare a continutului fraudulos care sustine ca utilizatorii online isi pot viziona biblioteca masiva de filme si emisiuni TV in format HD glorios. Pickaflick este similar cu site-urile web frauduloase: www.geeker.com, lilplay.com si Prin urmare, utilizatorii online care si-au folosit cardurile de credit pe site-ul fraudulos (Pickaflick) risca ca cardurile lor sa fie taxate in mod fraudulos pentru sume nedeterminate, chiar si atunci cand si-au anulat abonamentele ”
Aceste informatii de mai sus au fost in mare parte ignorate de Epic Games si, in loc sa iau in considerare riscul pentru utilizatorii lor, mi s-a cerut „Dovada conceptului” ca preluarea subdomeniului ar putea duce la preluari de autentificare sau alte atacuri asupra utilizatorilor Epic Games – i-am spus in mare masura Epic Jocuri pe care erau ridicole sa le ceara un POC cand am aratat subdomeniile deturnate – nu exista „concept” implicat – a fost un atac real, cu subdomenii reale pe domeniul de autentificare Epic Games deturnate, la momentul biletului meu trimiteri. Epic Games chiar a eliminat subdomeniile, dar a continuat sa minimizeze riscul pentru utilizatorii lor si au refuzat sa ia in considerare cine este aceasta retea, ce alte organizatii au reusit, sofisticarea lor tehnica evidenta si conexiunile lor probabile cu frauda cardului de credit si altele tipuri de fraude de phishing ale utilizatorilor.
Frauda cu cardul de credit este complicata, la fel si acreditarile utilizatorilor de phishing prin atacuri de sesiune bazate pe autentificare si redirectionari PHP.
Procesul de deturnare a subdomeniilor, chiar si atunci cand majoritatea par sa foloseasca DigitalOcean (scuza oferita practic de Epic Games), nu este nesemnificativ, iar acest grup are, evident, resurse masive, chiar daca unele practici de codare trebuie sa le reutilizeze pentru a-si scala sistemele. (si, prin urmare, ofera sirurile pentru a-si gasi retelele).
Cred ca faptele sunt clare ca o retea organizata de hacker si frauda a cardurilor de credit a folosit subdomeniile Epic Games pentru a lansa atacuri asupra utilizatorilor. Si acest grup continua sa orchestreze aceste atacuri pe internet si are de ani de zile.
In cele din urma, daca veti oferi o recompensa de 1 milion de dolari pentru a afla cine ar putea sa va atace utilizatorii, atunci cand va confruntati cu aceasta cercetare, cum ati putea respinge toate concluziile ca acesta a fost grupul organizat care vizeaza dvs. si utilizatorii dvs.?
Aveti probleme, ingrijorari sau doriti sa vedeti modificari aici? Trimite-mi ping @ thezedwards pe Twitter si voi vedea ce pot face. Multumesc! ????