Luka w przeglądarkach ułatwia phishing
We wszystkich popularnych przeglądarkach odkryto błąd, który znakomicie ułatwia przeprowadzenie ataków phishingowych. Nową technikę nazwano "in-session phishing".
Tradycyjny phishing polega na wysyłaniu olbrzymiej liczby niechcianych wiadomości i oczekiwaniu, aż ich odbiorcy dadzą się oszukać i przekażą przestępcom interesujące dane, np. hasła i loginy. Większość spamu jest jednak wyłapywana przez filtry antyspamowe i nigdy nie dociera do odbiorców.
"In-session phishing" polega na włamaniu się na stronę WWW i umieszczenie na niej kodu HTML, który wyświetli standardowe okienko pop-up np. z prośbą o podanie loginu i hasła. Największym problemem jest spowodowanie, by okienko takie wyglądało na prawdziwe, rzeczywiście pochodzące z serwisu, z którego korzystamy.
Tutaj właśnie przyda się wspomniana luka w przeglądarkach. Jej odkrywca, Amit Klein z firmy Trusteer, mówi, że w silnikach JavaScript występuje błąd, dzięki któremu można sprawdzić, czy dana osoba jest zalogowana na witrynie, którą odwiedza. Dzięki temu wspomniany pop-up można przygotować tak, by nie wyświetlał się każdemu i w każdej sytuacji, bo to może wzbudzić podejrzenia, ale pokazywał się tylko tym użytkownikom, którzy już się zalogowali.
Istnieje duże prawdopodobieństwo, że osoba zalogowana np. do swojego banku, widząc kolejną prośbę o logowanie, uzna ją za dodatkowe zabezpieczenie i poda swoją nazwę użytkownika i hasło, przekazując je tym samym cyberprzestępcom.
Klein nie zdradza, o jaką funkcję silnika JavaScript chodzi. Poinformował o problemie producentów wadliwych przeglądarek.
Mariusz Błoński
