באג דפדפן יכול לאפשר דיוג ללא דואר אלקטרוני

באג מצא את כל הדפדפנים העיקריים יכול להקל על פושעים לגנוב אישורי בנקאות מקוונת באמצעות סוג חדש של התקפה בשם "דיוג בתוך דיוג", על פי חוקרים של ספק אבטחה Trusteer.

דיוג בזמן אמת (pdf) נותן את הרעים פתרון לבעיה הגדולה ביותר בפני phishers בימים אלה: איך להגיע לקורבנות חדשים. בהתקפת דיוג מסורתית, שולחים המפיצים מיליוני הודעות דואר אלקטרוני מטושטשות המחופשות להיראות כאילו הן מגיעות מחברות לגיטימיות, כגון בנקים או חברות תשלום מקוונות.

הודעות אלה נחסמות לעתים קרובות על ידי תוכנת סינון דואר זבל, אך עם פישינג ב- phishing, הודעת הדואר האלקטרוני מוציאה מהמשוואה, מוחלפת בחלון דפדפן מוקפץ. [

[קריאה נוספת: כיצד להסיר תוכנות זדוניות ממחשב Windows]

להלן אופן ההתקפה יעבוד: הרעים היה לפרוץ אתר אינטרנט לגיטימי צמח קוד HTML שנראה כמו חלון קופץ אבטחה התראה. הפופ-אפ יבקש מהקורבן להזין את הסיסמה ואת פרטי הכניסה, ואולי לענות על שאלות אבטחה אחרות המשמשות את הבנקים כדי לאמת את זהות הלקוחות שלהם.

עבור התוקפים, החלק הקשה יהיה משכנע קורבנות כי זה פופ - אז הוא לגיטימי. אבל הודות לבאג שנמצא במנועי ה- JavaScript של כל הדפדפנים הנפוצים ביותר, יש דרך לגרום לסוג זה של התקפה להיראות אמין יותר, אומר עמית קליין, קצין הטכנולוגיה של Trusteer.

על ידי חקר דפדפני הדרך השתמש ב- JavaScript, קליין אמר שהוא מצא דרך לזהות האם מישהו מחובר לאתר אינטרנט, בתנאי שהם משתמשים בפונקציית JavaScript מסוימת. קליין לא היה שם את הפונקציה כי זה היה נותן פושעים דרך להשיק את ההתקפה, אבל הוא הודיע ​​על יצרני הדפדפן מצפה באג תוקן בסופו של דבר.

עד אז, פושעים שגילו את הפגם יכול לכתוב קוד בדיקות בין אם גולשים נכנסים, למשל, רשימה קבועה מראש של 100 אתרים בנקאיים. "במקום סתם לצוץ את הודעת הדיוג האקראית הזו, תוקף יכול לקבל יותר מתוחכם על ידי בדיקה וזיהוי אם המשתמש מחובר כעת לאחד מ -100 אתרי אינטרנט של מוסד פיננסי", הוא אומר. "העובדה שאתה" "כרגע החוקרים מציגים דרכים אחרות לקבוע אם הקורבן מחובר לאתר מסוים, אך לא תמיד הם מהימנים. קליין אמר כי הטכניקה שלו לא תמיד עובד אבל זה יכול לשמש באתרים רבים, כולל בנקים, קמעונאים מקוונים, המשחקים ואתרי הרשתות החברתיות.