Luka w przeglądarkach ułatwia phishing
We wszystkich popularnych przeglądarkach odkryto błąd, który znakomicie ułatwia przeprowadzenie ataków phishingowych. Nową technikę nazwano "in-session phishing".
Tradycyjny phishing polega na wysyłaniu olbrzymiej liczby niechcianych wiadomości i oczekiwaniu, aż ich odbiorcy dadzą się oszukać i przekażą przestępcom interesujące dane, np. hasła i loginy.
Większość spamu jest jednak wyłapywana przez filtry antyspamowe i nigdy nie dociera do odbiorców.
"In-session phishing" polega na włamaniu się na stronę WWW i umieszczenie na niej kodu HTML, który wyświetli standardowe okienko pop-up np. z prośbą o podanie loginu i hasła. Największym problemem jest spowodowanie, by okienko takie wyglądało na prawdziwe, rzeczywiście pochodzące z serwisu, z którego korzystamy.
Tutaj właśnie przyda się wspomniana luka w przeglądarkach. Jej odkrywca, Amit Klein z firmy Trusteer, mówi, że w silnikach JavaScript występuje błąd, dzięki któremu można sprawdzić, czy dana osoba jest zalogowana na witrynie, którą odwiedza. Dzięki temu wspomniany pop-up można przygotować tak, by nie wyświetlał się każdemu i w każdej sytuacji, bo to może wzbudzić podejrzenia, ale pokazywał się tylko tym użytkownikom, którzy już się zalogowali. Istnieje duże prawdopodobieństwo, że osoba zalogowana np. do swojego banku, widząc kolejną prośbę o logowanie, uzna ją za dodatkowe zabezpieczenie i poda swoją nazwę użytkownika i hasło, przekazując je tym samym cyberprzestępcom.
Klein nie zdradza, o jaką funkcję silnika JavaScript chodzi. Poinformował o problemie producentów wadliwych przeglądarek.
Komentarze (8)
wilk, 14 stycznia 2009, 01:27
No chwila, moment. Mówimy tutaj o włamaniu i podmienieniu oficjalnej stronki banku? No to chyba nikt w cuda nie wierzy, że ktoś nie da się oszukać. Poza tym w takiej sytuacji atakujący ma przecież dostęp do sesji, więc wie czy ktoś jest już zalogowany. Z drugiej strony po co alert i logowanie, skoro wystarczy przejąć dane wpisywane w formularzu.
Gość Matsukawa, 14 stycznia 2009, 08:49
Poważne banki (i nie tylko) stosują listy haseł jednorazowych. Sprawdzą się i w tym przypadku.
Mariusz Błoński, 14 stycznia 2009, 09:41
Nie. Nie idzie o podmianę całej strony, a o umieszczenie na niej niewielkiego kodu. Wbrew pozorom, bardzo wiele godnych zaufania witryn jest w ten sposób atakowanych. Przestępcy umieszczają tam np. jakiś link czy podmieniają adres istniejącego. Problem w tym, jak spowodować, żeby użytkownik trafił na ten link i dał się nabrać. Powyższy mechanizm to umożliwia. Daje co najmniej dostęp do konta. A z danymi dotyczącymi konta przestępcy też potrafią dużo zrobić.
wilk, 14 stycznia 2009, 14:46
No coś takiego (html injection) jest możliwe dzięki malware po stronie klienta. Włamanie na serwer bankowy jest mimo wszystko wysoce inwazyjne i to nie taki "piece of cake", a jak mniemam pliki są monitorowane, choć mogę się mylić, bo nieudolność ladminów już kilka razy nas zaskakiwała. Btw. można wiedzieć jakie to te wiele witryn?
w46, 14 stycznia 2009, 14:59
A to jest jakakolwiek przeszkoda? Cóż za problem przechwycić także hasło jednorazowe i użyć je przy wykonywaniu fałszywego przelewu.
azzzzz, 14 stycznia 2009, 15:28
no jest problem, takie okienko wykradnie haslo i login zeby haslo jednorazowe poznac nalezaloby cala strone "podmienic" gdzie uzytkownik przelewajac pieniadze zapytany zostalby o haslo jednorazowe wtedy zlodziej loguje sie na poprawna strone i przelewa pieniadze
w46, 14 stycznia 2009, 15:55
Jeśli złodziej będzie miał dane potrzebne do zalogowania (zdobyte w 1 kroku) to bez problemu jest w stanie wygenerować całą stronę z prawdziwymi danymi łącznie z oknem do przelewów i polem do wpisania hasła jednorazowego
thibris, 15 stycznia 2009, 14:20
Tak czy siak nadal kwestia bezpieczeństwa leży (i kwiczy) po stronie użytkowników. Jeśli ktoś się złapie na podwójne logowanie, to niejako sam jest sobie winien (choć, wiem że tylko po części).