Data: Środa, 14 stycznia 2009, 13:01

Luka w przeglądarkach ułatwia phishing

We wszystkich popularnych przeglądarkach odkryto błąd, który znakomicie ułatwia przeprowadzenie ataków phishingowych. Nową technikę nazwano "in-session phishing".

Tradycyjny phishing polega na wysyłaniu olbrzymiej liczby niechcianych wiadomości i oczekiwaniu, aż ich odbiorcy dadzą się oszukać i przekażą przestępcom interesujące dane, np. hasła i loginy.
Większość spamu jest jednak wyłapywana przez filtry antyspamowe i nigdy nie dociera do odbiorców.

"In-session phishing" polega na włamaniu się na stronę WWW i umieszczenie na niej kodu HTML, który wyświetli standardowe okienko pop-up np. z prośbą o podanie loginu i hasła. Największym problemem jest spowodowanie, by okienko takie wyglądało na prawdziwe, rzeczywiście pochodzące z serwisu, z którego korzystamy.

Tutaj właśnie przyda się wspomniana luka w przeglądarkach. Jej odkrywca, Amit Klein z firmy Trusteer, mówi, że w silnikach JavaScript występuje błąd, dzięki któremu można sprawdzić, czy dana osoba jest zalogowana na witrynie, którą odwiedza. Dzięki temu wspomniany pop-up można przygotować tak, by nie wyświetlał się każdemu i w każdej sytuacji, bo to może wzbudzić podejrzenia, ale pokazywał się tylko tym użytkownikom, którzy już się zalogowali.

Klein nie zdradza, o jaką funkcję silnika JavaScript chodzi. Poinformował o problemie producentów wadliwych przeglądarek.

Mariusz Błoński