Luka w przeglądarkach ułatwia phishing

We wszystkich popularnych przeglądarkach odkryto błąd, który znakomicie ułatwia przeprowadzenie ataków phishingowych. Nową technikę nazwano "in-session phishing".

Na atak nowgo typu narażone są wszystkie bez wyjątku przeglądarki WWW
Na atak nowgo typu narażone są wszystkie bez wyjątku przeglądarki WWWstock.xchng

"In-session phishing" polega na włamaniu się na stronę WWW i umieszczenie na niej kodu HTML, który wyświetli standardowe okienko pop-up np. z prośbą o podanie loginu i hasła. Największym problemem jest spowodowanie, by okienko takie wyglądało na prawdziwe, rzeczywiście pochodzące z serwisu, z którego korzystamy.

Tutaj właśnie przyda się wspomniana luka w przeglądarkach. Jej odkrywca, Amit Klein z firmy Trusteer, mówi, że w silnikach JavaScript występuje błąd, dzięki któremu można sprawdzić, czy dana osoba jest zalogowana na witrynie, którą odwiedza. Dzięki temu wspomniany pop-up można przygotować tak, by nie wyświetlał się każdemu i w każdej sytuacji, bo to może wzbudzić podejrzenia, ale pokazywał się tylko tym użytkownikom, którzy już się zalogowali.

Istnieje duże prawdopodobieństwo, że osoba zalogowana np. do swojego banku, widząc kolejną prośbę o logowanie, uzna ją za dodatkowe zabezpieczenie i poda swoją nazwę użytkownika i hasło, przekazując je tym samym cyberprzestępcom.

Klein nie zdradza, o jaką funkcję silnika JavaScript chodzi. Poinformował o problemie producentów wadliwych przeglądarek.

Mariusz Błoński

kopalniawiedzy.pl
Masz sugestie, uwagi albo widzisz błąd?
Dołącz do nas