许多知名且经常使用的网站都在使用防欺诈脚本,该脚本通过端口扫描您的本地计算机以查找远程访问程序。
上周末,有大量新闻称,eBay.com在访问者浏览其网站时,会对他们的电脑进行端口扫描。
此端口扫描是由ThreatMetrix的欺诈保护脚本执行的,该脚本用于检测进行欺诈性购买的潜在被黑客攻击的计算机。
执行时,此产品的一项功能使用WebSockets扫描访客计算机上的14个不同的TCP端口。
所有这些端口都用于远程访问程序,通常出于合法原因使用,但也已知用于恶意目的。下面列出了这些端口、它们的标识符和关联的应用程序。
嘟嘟计算机仍无法识别端口63333上的目标程序。根据名称,我们认为这是测试的参考端口。
虽然每个电子商务网站都应该使用各种方法来检测欺诈行为,但许多网站发现,在未经许可的情况下通过端口扫描访问者的计算机上的程序太具侵入性。
为了了解其他网站可能正在使用这个脚本,BleepingComputer联系了专门从事web域名和DNS威胁情报的网络安全公司DidainTools。
当网站加载ThreatMetrix的反欺诈脚本时,它们会通过客户名为online-metrix.net的主机名加载脚本。
例如,eBay的网站从www.src.ebay-us.com加载ThreatMetrix脚本文件,这是一个CNAME DNS记录,内容是.h-ebay.online-metrix.net。
DomainTools能够向beepingcomputer提供387个名称相似的唯一在线metrix.net主机名列表。
使用这份名单,beepingcomputer访问了许多大公司的网站,并在访问时检查他们是否在扫描我们的计算机。
虽然没有一家网站的访问量像eBay那样大,但许多使用ThreatMetrix反欺诈脚本的网站都是知名品牌。
在我们测试的网站中,我们看到花旗银行、TD银行、美国企业、Chick-Fill-A、Lendup、Beachbody、Equifax IQ connect、TIAA-CREF、Sky、Gumtree和WePay端口扫描我们的计算机。
例如,花旗银行、美国企业和TIAA-CREF在访问网站主页时,立即对我们的计算机进行端口扫描。
TD银行、Chick-Fill-A、Lendup、Equifax IQ Connect、Sky、Gumtree和WePay仅对试图登录的访问者进行端口扫描。
根据我们收到的域名列表,其他知名公司也在使用ThreatMetrix脚本。
这份名单包括Netflix、Target、沃尔玛、ESPN、劳埃德银行、HSN、Telecharge、Ticketmaster、TripAdvisor、PaySafeCard,甚至可能还有微软。
我们无法在这些网站上触发端口扫描功能,但它可能已在我们没有访问的页面上使用。
虽然我们有一种很好的感觉,即这些端口扫描正在被用来检测潜在的黑客电脑,但我们联系了NexisLexis公司和上面列出的一些公司进行确认。
不幸的是,在本文发表时,我们没有收到他们任何人的回复。
如果你发现这些端口扫描具有侵扰性和隐私风险,你可以利用Firefox中的uBlock Origin广告阻止程序来阻止它们。
在我们的测试中,uBlock无法阻止新的Microsoft Edge或Google Chrome中的端口扫描,因为扩展没有足够的权限来揭开DNS CNAME记录的面纱。
我们还测试了Brave浏览器,端口扫描被允许通过,如下所示。