web-dev-qa-db-ja.com

フィッシングリンクがMacにメジャーウイルスをインストールすることは可能ですか?

私のガールフレンドは最近彼女の大学のMS Exchangeアカウントをハッキングされました。攻撃者は彼女のメールアカウントを乗っ取り、何千ものスパムメールを送信するためにそれを使い始めました。しばらくすると、彼女の電子メールアカウントはなんらかの制限に達しているはずであり、大学のサーバーはスパマーが試みたすべての電子メールに対してherの電子メールの送信を開始しました彼女のアカウントから送信する!

とにかく、彼女は、大学のITサービスからのメールであると主張したMacBook Proのウェブメールのメールにあるフィッシングリンクを誤ってクリックしたことを覚えていますが、それだけです。どうやら、リンクは「何もしなかった」とすぐに閉じた。メールアドレスやパスワードを要求するフォームには何も入力しませんでした。

パスワードを変更したにもかかわらず、攻撃者は止まりませんでした。これはどのようにして可能ですか?彼女のExchangeアカウントは、大学の中央アカウントシステムにリンクされていますが、正確にはわかりません。とにかく、1つのパスワードを変更すると全体が変わります。

現在、ITサービスは、大学アカウントの再アクティブ化に同意する前に、ラップトップにすべて(Mac OS X、ファイルなど)を再インストールするように指示しています。これは私には間違っているようです-彼女がしたことすべてがウェブメールを介して電子メールのリンクをクリックした場合、ラップトップはどのように感染する可能性がありますか?それは可能ですか? (私は彼女がおそらくFirefoxを使用していたと思います)。彼らは彼女がルートキットウイルスを持っていることを心配しています。

更新:言及するのを忘れていました。彼女もソフォスをインストールしていました。それがどれほど最新であったか正確にわかりません。

6
Joseph Humfrey

回答:ええ。それが可能だ。 OSXを再インストールしてから、すべてのパスワードを変更します。彼女はフィッシングされた。

ITサービスはここで正しいです。

防止:これが今後発生しないようにするには、更新の重要性と、フィッシング詐欺を特定して回避する方法を確実に理解する必要があります。

発生方法:多くの攻撃者は、短縮されたURLまたはXSS脆弱性が存在する正当なWebサイトを使用します。大学がウイルスのリンクと電子メールをスキャンしたとしても、攻撃者が正当なサイトを使用して攻撃した場合、大学はそれを実行させます。

次に、彼女がクリックしたリンクは、おそらくブラウザのエクスプロイト、Adobeフラッシュへの攻撃、またはあなたのガールフレンドが最近更新していないものに対する攻撃を試みるページに連れて行ったでしょう。可能性は低いですが、それでも可能ですが、彼らはゼロデイエクスプロイトを使用している可能性があります-現在、利用可能なパッチはありません。この時点で、攻撃者は悪意のあるソフトウェアのインストールを含め、ノートパソコンに必要なことを何でもできるようになります。

サイドノート:タイトルで尋ねます "something..something ... mac on virus"。一般的な考えに反して、Macは「PC」よりも多かれ少なかれ安全であるという考えは誤りです。 MacまたはPCが脆弱なサービスを実行している場合、どちらも悪用される可能性があります。

13
user11869

@Ramhound-「ソフォスはマルウェアを検出するようには設計されていません」について、あなたとそれぞれ意見を異にする必要があります。

その(およびそこにある他のパッケージ)の主要な目的と機能の1つは、マルウェアとウイルスを検出することです。 CultofMacの記事「 Sophos Anti-Virus for Mac Review 」は、ソフォス製品をかなりよく説明しています。さらに、ArsTechnicaからの article は、他のMacアンチウイルス製品についてもう少し深く掘り下げています。

ただし、攻撃がサーバー側の場合は、ほとんどの場合それを検出できなかったでしょう。

@Joseph Humfrey:Macが実際に感染したことをどうやって知るのですか?クライアント側ではなくサーバー側で攻撃した可能性はありますか?まるでブラウザを使ってメールにアクセスしているようです。彼らがセッションをハイジャックしたか、彼女が弱いパスワードを持っていたか、何らかの方法でFirefoxを侵害した可能性があります。

ルートキットに関して言えば、Mac OS Xには、特に最新の状態では、現在、大量のルートキットはありません。これは、問題に関する技術担当者によるSophos Openフォーラムへのコメントです。

私がOS Xで取得するルートキットレポートのほとんどは、パスワード認証を使用してリモートログインをオンにし、ログイン/パスワードの組み合わせを簡単に推測できる人であることが判明しています。他には、悪意のあるDNSサーバーをポイントするようにDNSサーバーの設定を変更するトロイの木馬をインストールした人々との関係があります。実際にはルートキットと見なすことのできるものはほとんどなく、これらのほとんどは標的にされています(したがって、一般的な検出/クリーンアップツールはあまりメリットをもたらしません).

1
AndyMan