Siguri

Një problem në shfletues mund të bëjë të mundur phishing edhe pa e-mail

May 1 2009
0 Shpërndarje
Një problem në shfletues mund të bëjë të mundur phishing edhe pa e-mail

phishing tradicionale, një keqbërës dërgon miliona e-mail të rremë të maskuar sikur vijnë nga kompani të ligjshme. Por studiuesit në shitësin e sigurisë Trusteer thonë se "in-session e-phishing," një tip i ri sulmi, mund të ndihmojë kriminelët të vjedhin informacione të online banking duke zëvendësuar mesazhet e-mail me një dritare pop-up.

Duke shfrytëzuar hyrjen ilegale në site legjitime e duke vendosur atje një kod HTML që duket si një njoftim sigurie pop-up, që i kërkon viktimës të fusë informacionin e login, apo t’i përgjigjet pyetjeve të tjera të sigurisë, që përdorin bankat për të verifikuar identitetin e një konsumatori.

Për sulmuesit, e do të jetë e vështirë vetëm bindja e viktimave se njoftimi pop-up është legjitim. Por për shkak të një problemi në motorët e JavaScript të përdorur gjerësisht nga shfletuesit, ka një mënyrë për ta bërë këtë lloj sulmi të duket më i besueshëm, thotë Amit Klain, oficer kryesor i teknologjisë të Trusteer.

Nga studimi i asaj se si shfletuesit përdorin Java Script, Klein thotë se, ai gjeti një mënyrë për të përcaktuar nëse dikush ka hyrë në një sit, me kusht që ata përdorin një funksion të caktuar JavaScript. Klain ka vënë në dijeni shfletues-bërësit dhe pret që më në fund do të marrin masa për një arnim.

Deri atëherë, kriminelët që do të mund të gjejnë vrimat e sigurisë, mund të jetë në gjendje të shkruajnë kodin që kontrollon nëse naviguesit kanë hyrë në një sit, të themi, një listë e madhe me site të paracaktuara bankare. "Në vend të përdorimit të papërcaktuar të pop-up, një sulmues mund të bëjë një sulm më të sofistikuar duke gjetur nëse përdoruesi ka hyrë në një nga 100 sitet e institucioneve financiare" thotë Klain.

Lajmet e fundit>