Chyba prohlížeče může umožnit phishing bez e-mailu

Chyba nalezená ve všech hlavních prohlížečích by mohla usnadnit kriminalistům krást bankovní pověření pomocí nového typu útoku nazvaného "phishing v síti", podle výzkumníků z prodejce zabezpečení Trusteer.

Phishing v reálném čase (pdf) dává špatným klukům řešení největšího problému, kterým čelí phishers dnes: jak dosáhnout nových obětí. Při tradičním phishingovém útoku podvodníci vysílají miliony falešných e-mailových zpráv, které se skrytí, aby vypadaly, že pocházejí z legálních společností, jako jsou banky nebo online platební společnosti.

Tyto zprávy jsou často blokovány softwarem pro filtrování nevyžádané pošty, ale s phishingem v relaci, e-mailová zpráva je vyňata z rovnice a nahrazena oknem prohlížeče.

[Další informace: Jak odstranit malware z počítače se systémem Windows]

Zde je návod, jak útok bude fungovat: Zloději by zasekli legitimní webový server a vytvořili HTML kód, který vypadá jako varovná okna pro vyskakovací okna. Pop-up pak požádá oběť, aby zadala heslo a přihlašovací údaje a případně odpověděla na jiné bezpečnostní otázky používané bankami, aby ověřila totožnost svých zákazníků.

Pro útočníky by těžká část přesvědčila oběti, oznámení je legitimní. Ale díky chybě nalezené v motorech JavaScript všech nejrozšířenějších prohlížečů existuje způsob, jak tento útok připadat více uvěřitelný, řekl Amit Klein, hlavní technický důstojník společnosti Trusteer.

Studiem způsobu, jakým prohlížeče použijte JavaScript, Klein řekl, že našel způsob, jak určit, zda je někdo přihlášen na webovou stránku za předpokladu, že používá určitou funkci JavaScriptu. Klein by tuto funkci nezmínil, protože by to dalo zločincům způsob, jak spustit útok, ale oznámil, že se chyba nakonec dostane do patchů.

Do té doby by zločinci, kteří objevili chybu, mohli napsat kód, který kontroluje zda jsou přihlášeni uživatelé webu, například předem stanovený seznam 100 bankovních stránek. "Místo toho, aby se náhodně objevil tento náhodný phishingový vzkaz, může útočník získat více sofistikovanosti tím, že zjistí, zda je uživatel v současné době přihlášen na jeden ze 100 webových stránek finančních institucí," uvedl.

v současné době se setkáváme s důvěryhodností zprávy o phishingu, "dodal.

Vědci v oblasti bezpečnosti vyvinuli další způsoby, jak určit, zda je oběť přihlášena k určitému webu, ale nejsou vždy spolehliví. Klein říká, že jeho technika není vždy funkční, ale může být použita i na mnoha místech, včetně bank, on-line maloobchodníků, her a sociálních sítí.