Componenti

Bug del browser può consentire il phishing senza e-mail

Google Security Expert Roundtable

Google Security Expert Roundtable
Anonim

Un bug trovato in tutti i principali browser potrebbe rendere più facile per i criminali rubare credenziali di online banking usando un nuovo tipo di attacco chiamato "phishing in sessione", secondo i ricercatori del fornitore di sicurezza Trusteer.

Il phishing in sessione (pdf) offre ai malintenzionati una soluzione al problema più grande che i phisher affrontano in questi giorni: come raggiungere nuove vittime. In un tradizionale attacco di phishing, gli scammer inviano milioni di messaggi e-mail falsi mascherati per apparire come provenienti da società legittime, come banche o società di pagamento online.

Quei messaggi sono spesso bloccati dal software di filtro spam, ma con phishing in sessione, il messaggio di posta elettronica viene eliminato dall'equazione, sostituito da una finestra popup del browser.

[Ulteriori informazioni: Come rimuovere malware dal PC Windows]

Ecco come un attacco funzionerebbe: i cattivi avrebbero hackerato un sito Web legittimo e avrebbero creato un codice HTML simile a una finestra di avviso di sicurezza pop-up. Il pop-up chiede quindi alla vittima di inserire la password e le informazioni di accesso, e possibilmente di rispondere ad altre domande di sicurezza utilizzate dalle banche per verificare l'identità dei propri clienti.

Per gli aggressori, la parte difficile sarebbe convincere le vittime che questo pop -up avviso è legittimo. Ma grazie a un bug trovato nei motori JavaScript di tutti i browser più diffusi, c'è un modo per rendere questo tipo di attacco più credibile, ha detto Amit Klein, chief technology officer di Trusteer.

Studiando il modo in cui i browser usa JavaScript, Klein ha detto di aver trovato un modo per identificare se qualcuno è registrato o meno in un sito Web, a condizione che utilizzi una determinata funzione JavaScript. Klein non nominerebbe la funzione perché darebbe ai criminali un modo per lanciare l'attacco, ma ha notificato i creatori di browser e si aspetta che il bug finisca per essere corretto.

Fino ad allora, i criminali che scoprono il difetto potrebbero scrivere il codice che controlla se i navigatori del Web sono registrati, ad esempio, un elenco predeterminato di 100 siti bancari. "Invece di far apparire questo messaggio casuale di phishing, un utente malintenzionato può essere più sofisticato sondando e scoprendo se l'utente è attualmente connesso a uno dei 100 siti Web delle istituzioni finanziarie", ha affermato.

"Il fatto che tu sia" Al momento, in sessione, dà molta credibilità al messaggio di phishing ", ha aggiunto.

I ricercatori di sicurezza hanno sviluppato altri modi per determinare se una vittima è registrata in un determinato sito, ma non sono sempre affidabili. Klein ha detto che la sua tecnica non sempre funziona, ma può essere utilizzata su molti siti tra cui banche, rivenditori online, siti di giochi e social network.