Поиск по этому блогу

14 янв. 2009 г.

Новая внутрисессионная фишинговая атака способна ввести в заблуждение и опытных пользователей

Еще один год, еще одна разновидность фишинга. В отличие от большинства других фишинговых атак, этот метод не полагается на глупость и невежество пользователей и вообще никак не использует электронную почту.

Эксперты в области безопасности из Trusteer опубликовали доклад (PDF), содержащий информацию об этой атаке и достаточно размытое ее описание. Как и следует из названия, внутрисессионный фишинг требует, чтобы пользователь сначала залогинился на безопасный сайт. В качестве яркого примера в Trusteer использовали сайт онлайн-банкинга.

Атака работает следующим образом. Пользователь легитимно заходит на сайт, авторизуется там и делает все, зачем пришел. После этого он открывает в браузере другую вкладку (или другое окно), оставляя при этом банковский сайт открытым. Вскоре после этого он натыкается на сайт, зараженный вредоносным кодом, связанным с этой атакой. Будучи запущенным, код выдает всплывающее окошко, якобы от открытого банковского сайта. В окне содержится запрос на повторный ввод данных авторизации, необходимых для продолжения сессии. В Trusteer отмечают, что такие всплывающие окна могут принимать самые различные формы, начиная с опросов и заканчивая мини-играми.

Чтобы метод сработал, необходимо соблюдение двух условий. Во-первых, открываемый сайт должен быть уже заражен. Во-вторых, нужно, чтобы загруженный вредоносный код был в состоянии определить, авторизовался или нет неизвестный пользователь на безопасном ресурсе. Атака эксплуатирует баг в движке JavaScript, используемом такими популярными браузерами, как IE, Firefox, Safari и Chrome, и позволяющем сайтам определять, залогинен ли пользователь на каком-то другом ресурсе. Отслеживание становится возможным в случае, если была вызвана специфическая функция JavaScript. Такой вызов часто осуществляют сайты финансовых организаций, игровых ресурсов, социальных сетей и онлайн-казино.

Специалисты рекомендуют компаниям и пользователям установить разработанное ими защитное ПО, закрывать безопасные сайты сразу же по завершении работы и с особым вниманием относиться к появляющимся случайным образом всплывающим окнам.

http://www.xakep.ru/post/46748/default.asp

Комментариев нет:

Sociable