Un bug al browserelor ar putea permite phishing-ul fara e-mail

• 

• Tweet

  Email

  Print

  Publicat de PCWorld 14 ianuarie 2009 11:22 in Securitate

Un bug gasit in toate browserele importante pot usura munca hackerilor pentru a fura online datele bancare, folosind un nou tip de atac numit “in-sesson phishing”, potrivit cercetarilor in securitate de la Trusteer.

In-session phishing le da hacker-ilor o solutie la cea mai mare problema privind phishing-urile in zilele acestea: cum sa ajungi la noi victime. Intr-un atac traditional phishing, escrocii trimiteau milioane de mesaje e-mail false, deghizate sa arate ca ar veni de la companii legitime, precum banci sau companii de plati online.

Acele mesaje sunt de obicei blocate de catre software-uri spam-filtering, dar cu in-session phishing, mesajele mail nu sunt luate in considerare si sunt inlocuite cu o fereastra pop-up a browser-ului.

Iata cum functioneaza un atac: Escrocii hack-uiesc un website si introduc un cod HTML, ce arata ca o alerta de securitate pop-up. Pop-up-ul cere apoi victimei sa introduca parola si informatia de login si, posibil, raspunsul la o intrebare de securitate folosit de banci pentru a verifica identitatea clientului.

Pentru atacatori, partea cea mai grea ar fi convingerea victimelor ca avertizarea pop-up este legitima. Dar, datorita unui bug gasit in motoarele JavaScript folosit de majoritatea browserelor, exista un mod de a face aceste atacuri sa apara mai credibile, a spus Amit Kleinde la Trusteer.

Studiind modul in care browserele folosesc JavaScript, Klein a spus ca a gasit un mod de a identifica daca cineva este logat sau nu pe un website, in cazul in care folosesc o anumita functie JavaScript. Klein nu a vrut sa numeasca functia pentru ca ar oferi hacker-ilor o metoda de a lansa atacul, dar a i-a anuntat pe producatorii de browsere si se asteapta la un patch pentru remedierea bug-ului.

Sursa: IDG News Service