Ошибка браузера может привести к фишингу без электронной почты

Ошибка, обнаруженная во всех основных браузерах, может помочь преступникам украсть учетные данные онлайн-банкинга, используя новый тип атаки, называемый «во время сеанса фишинга», сообщают исследователи из поставщика безопасности Trusteer.

Во время сеанса фишинга (pdf) плохие ребята - решение самой большой проблемы, с которой сталкиваются фишеры в наши дни: как добраться до новых жертв. В традиционной фишинговой атаке мошенники отправляют миллионы фальшивых сообщений электронной почты, замаскированных, чтобы они выглядели так, как будто они принадлежат законным компаниям, таким как банки или онлайн-платежные компании.

Эти сообщения часто блокируются программным обеспечением для фильтрации спама, но с фишингом во время сеанса, сообщение электронной почты вынимается из уравнения, заменяется всплывающим окном браузера.

[Подробнее читайте: Как удалить вредоносное ПО с вашего ПК с Windows]

Вот как атака будет работать: плохие парни взломают законный веб-сайт и установят HTML-код, который выглядит как всплывающее окно предупреждения о безопасности. Всплывающее окно затем попросит жертву ввести пароль и данные для входа и, возможно, ответить на другие вопросы безопасности, используемые банками для проверки личности своих клиентов.

Для злоумышленников тяжелая часть будет убедительными жертвами, - уведомление является законным. Но благодаря ошибке, обнаруженной в машинах JavaScript всех наиболее широко используемых браузеров, есть способ сделать этот тип атаки более правдоподобным, сказал Амит Клейн, главный технический директор Trusteer.

Изучая способы использования браузеров используйте JavaScript, Клейн сказал, что он нашел способ определить, зарегистрирован ли кто-либо на веб-сайте, если они используют определенную функцию JavaScript. Клейн не назвал бы эту функцию, потому что она давала бы преступникам возможность начать атаку, но он уведомил обозревателей и ожидает, что ошибка в конечном итоге будет исправлена.

До этого преступники, обнаружившие недостаток, могли написать код, который проверяет независимо от того, зарегистрированы ли веб-серферы, например, предопределенный список из 100 банковских сайтов. «Вместо того, чтобы просто всплывать это случайное фишинговое сообщение, злоумышленник может получить более изощренный опыт и выяснить, находится ли пользователь в настоящее время зарегистрирован на одном из 100 веб-сайтов финансовых учреждений», - сказал он.

«Тот факт, в настоящее время во время сеанса предоставляет большую степень доверия к фишинговому сообщению », - добавил он.

Исследователи безопасности разработали другие способы определения того, зарегистрирована ли жертва на определенном сайте, но они не всегда надежны. Клейн сказал, что его техника не всегда работает, но ее можно использовать на многих сайтах, включая банки, онлайн-магазины, игровые и социальные сети.