В конце мая 2020 года ИБ-эксперты и журналисты Bleeping Computer обнаружили, что сайт ebay.com сканирует локальные порты посетителей в поисках приложений для удаленной поддержки и удаленного доступа. Многие из этих портов были связаны с такими инструментами, как Windows Remote Desktop, VNC, TeamViewer, Ammy Admin и так далее. Как оказалось, аукцион использовал для этого скрипт ThreatMetrix, созданный компанией LexisNexis и применяемый для обнаружения мошенников. Хотя eBay, по сути, ищет известные и легитимные программы для удаленного доступа и администрирования, в прошлом некоторые из них действительно использовались в качестве RAT в фишинговых кампаниях. Сканирование выполняется с использованием WebSockets для подключения к 127.0.0.1. Все 14 сканируемых портов и связанные с ними программы перечислены в таблице ниже. Журналисты Bleeping Computer так и не смогли определить программу на порту 63333. Основываясь на идентификаторе «REF» они предполагают, что это контрольный порт для тестов. Программа Обозначение Ebay Порт Неизвестно REF 63333 VNC VNC 5900 VNC VNC 5901 VNC VNC 5902 VNC VNC 5903 Remote Desktop Protocol RDP 3389 Aeroadmin ARO 5950 Ammyy Admin AMY 5931 TeamViewer TV0 5939 TeamViewer TV1 6039 TeamViewer TV2 5944 TeamViewer TV2 6040 Anyplace Control APC 5279 AnyDesk ANY 7070 Дальнейшее изучение проблемы показало, что аналогичное поведение демонстрируют сайты таких крупных компаний, как Citibank, TD Bank, Ameriprise, Chick-fil-A, Lendup, BeachBody, Equifax IQ connect, TIAA-CREF, Sky, GumTree и WePay. Хотя сканирование осуществляется по уважительным причинам, многие по праву сочли подобное поведение излишне навязчивыми и нарушающими конфиденциальность. Бороться с этим предлагалось, в частности, посредством блокировщика uBlock Origin. Теперь же Bleeping Computer пишет, что эксперт компании MindedSecurity создал браузерное расширение Behave!, которое предупредит пользователей о подобной активности. Инструмент уже доступен для Chrome и Firefox, в планах у разработчика выпуск версий для Edge и Safari. Глава MindedSecurity и разработчик расширения Стефано Ди Паола (Stefano Di Paola) рассказывает, что расширение Behave! появилось на свет в качестве концептуального эксперимента по выявлению разных злоупотреблений со стороны веб-страниц. Разработчик обещает, что если пользователи проявят интерес к его детищу, оно продолжит расти и развиваться, а в конечном итоге может превратиться в полноценный проект, направленный на повышение осведомленности. «Например, локальное сканирование портов, кросс-протоколные атаки, перепривязка DNS — все это очень старые атаки, которые по-прежнему возможны, а ­поставщиками браузеров очень трудно их исправить, поскольку они злоупотребляют базовыми функциями веб-экосистемы», — говорит Стефано Ди Паола. В настоящее время Behave! отслеживает скрипты, которые пытаются получить доступ к IP-адресам следующих блоков: Loopback-адреса IPv4 127.0.0.1/8 Loopback-адреса IPv6 ::1/128 Частные сети IPv4 10.0.0.0/8 - 172.16.0.0/12 - 192.168.0.0/16 Уникальные локальные адреса IPv6 fc00::/7 В случае обнаружения подозрительной активности значок расширения отобразит красный индикатор, при клике по которому будет отображаться активность, выполненная сайтом. Также расширение может отображать уведомления в браузере при обнаружении нарушений. Следует отметить, что пока в расширении присутствует небольшой баг, который может приводить к ложным срабатываниям и предупреждениям о перепривязке DNS. Ди Паола уверяет, что уже исправил ошибку и ожидает, чтобы в Google одобрили новую версию. В ближайшем будущем эксперт MindedSecurity планирует добавить к расширению белые списки для веб-страниц и hostname’ов, которые могут выполнять локальные соединения, а также возможность обнаруживать код, выполняющий подозрительные действия.