Składniki

Błąd przeglądarki może umożliwić wyłudzanie informacji bez wiadomości e-mail

Webinarium portalu ngo.pl: Dane osobowe w NGO. Najważniejsze zmiany w 2018 r.

Webinarium portalu ngo.pl: Dane osobowe w NGO. Najważniejsze zmiany w 2018 r.
Anonim

Błąd znaleziony we wszystkich głównych przeglądarkach może ułatwić kryminalistom kradzież danych bankowych online za pomocą nowego typu ataku zwanego "phishingiem podczas sesji", jak stwierdzili naukowcy z firmy Trusteer zajmującej się bezpieczeństwem.

Fałszowanie w trakcie sesji (pdf) daje złym ludziom rozwiązanie największego problemu, jakim muszą stawić czoła phisherzy: jak dotrzeć do nowych ofiar. W tradycyjnym ataku typu phishing, oszuści wysyłają miliony fałszywych wiadomości e-mail, które wyglądają, jakby pochodziły od legalnych firm, takich jak banki lub firmy płatnicze online.

Te wiadomości są często blokowane przez oprogramowanie filtrujące spam, ale z wyłudzaniem danych w sesji wiadomość e-mail została usunięta z równania i zastąpiona wyskakującym okienkiem przeglądarki.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Oto jak atak zadziałałby: źli ludzie włamali się do legalnej witryny sieci Web i zasadzili kod HTML wyglądający jak wyskakujące okienko alertu bezpieczeństwa. Wyskakujące okienko poprosi ofiarę o podanie hasła i danych logowania, a także odpowie na inne pytania bezpieczeństwa stosowane przez banki w celu zweryfikowania tożsamości swoich klientów.

W przypadku osób atakujących najtrudniej byłoby przekonać ofiary, że ten pop powiadomienie jest uzasadnione. Ale dzięki błędowi znalezionemu w silnikach JavaScript wszystkich najpopularniejszych przeglądarek, jest sposób, aby ten rodzaj ataku wydawał się bardziej wiarygodny, powiedział Amit Klein, główny specjalista ds. Technologii w firmie Trusteer.

Studiując sposób, w jaki przeglądarki Użyj JavaScript, Klein powiedział, że znalazł sposób na to, czy ktoś jest zalogowany na stronie internetowej, pod warunkiem, że używa pewnej funkcji JavaScript. Klein nie nazwałby tej funkcji, ponieważ dałby przestępcom sposób na rozpoczęcie ataku, ale powiadomił twórców przeglądarek i spodziewa się, że błąd zostanie ostatecznie załatany.

Do tego czasu przestępcy, którzy odkryją usterkę, mogą napisać kod, który sprawdza czy internauci są zalogowani, na przykład z góry ustalona lista 100 stron bankowych. "Zamiast pojawiać się w tym losowym komunikacie o wyłudzaniu informacji, osoba atakująca może uzyskać bardziej wyrafinowane informacje poprzez sondowanie i ustalenie, czy użytkownik jest aktualnie zalogowany w jednej ze 100 witryn internetowych instytucji finansowych" - powiedział. "

" Fakt, że " Ponownie jest w trakcie sesji, co zapewnia wiarygodność wiadomości phishingowej "- dodał.

Naukowcy zajmujący się bezpieczeństwem opracowali inne metody określania, czy ofiara jest zalogowana w określonej witrynie, ale nie zawsze są one wiarygodne. Klein powiedział, że jego technika nie zawsze działa, ale może być używana na wielu stronach internetowych, w tym bankach, sklepach internetowych, witrynach do gier i serwisach społecznościowych.