Komponenter

Browserbug kan tillåta phishing utan e-post

The Internet: Packets, Routing & Reliability

The Internet: Packets, Routing & Reliability
Anonim

En bugg som finns i alla större webbläsare kan göra det lättare för brottslingar att stjäla Internetbankuppgifter med hjälp av en ny typ av attack som kallas "phishing in-session", enligt forskare hos säkerhetsleverantören Trusteer.

Sessionsfiskning (pdf) ger de dåliga killarna en lösning på det största problemet för phishers idag: hur man når nya offer. I en traditionell phishing-attack skickar svindlarna ut miljoner miljoner e-postmeddelanden förklädd för att se ut som om de kommer från legitima företag, till exempel banker eller betalningsföretag.

Dessa meddelanden blockeras ofta av spamfiltreringsprogram, men med phishing i sessionen tas e-postmeddelandet ut ur ekvationen, ersatt av ett popup-fönster.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Så här är en attack skulle fungera: De dåliga killarna skulle hacka en legitim webbplats och plantera HTML-kod som ser ut som ett popup-säkerhetsvarselsfönster. Popupen skulle då be brottsoffret ange lösenord och inloggningsinformation och eventuellt svara på andra säkerhetsfrågor som bankerna använde för att verifiera identiteten hos sina kunder.

För attacker skulle den svåra delen vara övertygande offer att denna pop -uppsägning är legitim. Men tack vare en bugg som finns i JavaScript-motorerna hos alla de mest använda webbläsarna finns det ett sätt att få denna typ av attack att tycka mer trovärdig, säger Amit Klein, Trusteers chefstekniker.

Genom att studera hur webbläsare Använda JavaScript, sade Klein att han har hittat ett sätt att identifiera om någon är inloggad på en webbplats, förutsatt att de använder en viss JavaScript-funktion. Klein skulle inte namnge funktionen eftersom det skulle ge brottslingar ett sätt att starta attacken, men han har anmält webbläsare och förväntar sig att buggen så småningom blir patched.

Fram till dess kan brottslingar som upptäcker felet skriva kod som kontrollerar om webbsurfare är inloggade, till exempel en förutbestämd lista över 100 bankwebbplatser. "Istället för att bara poppar upp det här slumpmässiga phishing-meddelandet kan en angripare bli mer sofistikerad genom att söka och se om användaren för närvarande är inloggad på en av 100 finansinstituts webbplatser," sa han.

"Det faktum att du" omedelbar sammanträde ger mycket trovärdighet till phishing-meddelandet, "tillade han.

Säkerhetsforskare har utvecklat andra sätt att avgöra om ett offer är inloggat på en viss webbplats, men de är inte alltid tillförlitliga. Klein sa att hans teknik inte alltid fungerar men den kan användas på många webbplatser, inklusive banker, onlinebutiker, spel och sociala nätverk.

SSL-certproblemet rapporterades vid förra veckans Black Hat-säkerhetskonferens, och kan tillåta en angripare att använda ett "null termination" -certifikat för att fånga SSL-kommunikation mellan webbläsaren och en webbplats. Sådan trafik är normalt krypterad så att den bara skulle uppträda som okrypterbara bokstäver och siffror till alla digitala spioner, men certbuggen möjliggör en lyckad "man-in-the-middle" kapning om en angripare har tillgång till ditt nätverk.

SSL-certproblemet rapporterades vid förra veckans Black Hat-säkerhetskonferens, och kan tillåta en angripare att använda ett "null termination" -certifikat för att fånga SSL-kommunikation mellan webbläsaren och en webbplats. Sådan trafik är normalt krypterad så att den bara skulle uppträda som okrypterbara bokstäver och siffror till alla digitala spioner, men certbuggen möjliggör en lyckad "man-in-the-middle" kapning om en angripare har tillgång till ditt nätverk.

Firefox 3.0.13 åtgärdar problemet, tillsammans med ett annat certifikatproblem som rapporterats av samma forskare, Moxie Marlinspike. Firefox 3.5 var redan skyddad från dessa fel, men en ny uppdatering av 3.5.2 uppdaterar andra säkerhetshål, inklusive en javascript-bugg som potentiellt kan riktas mot att installera skadlig kod.

Om du har en stor cd-samling från pre-digital dagar kan du ha bestämt dig för att konvertera allt till MP3-format för att lyssna på datorn eller på språng, via din telefon. Men cd-rippningsprogrammet kanske inte har hittat alla korrekta spårnamn och albumkonst, så du kan sluta med filer som är fulla med "unknowntrack1.mp3", "unknowntrack2.mp3" och så vidare. Det här ser rörigt ut, och hur på jorden kan du hitta en viss sång om den inte heter rätt? Sångar utan metadata eller a

Om du har en stor cd-samling från pre-digital dagar kan du ha bestämt dig för att konvertera allt till MP3-format för att lyssna på datorn eller på språng, via din telefon. Men cd-rippningsprogrammet kanske inte har hittat alla korrekta spårnamn och albumkonst, så du kan sluta med filer som är fulla med "unknowntrack1.mp3", "unknowntrack2.mp3" och så vidare. Det här ser rörigt ut, och hur på jorden kan du hitta en viss sång om den inte heter rätt? Sångar utan metadata eller a

Lyssna på låten och sedan byta namn på den för hand är en lång, långsam och väldigt tråkig process. Det är därför det är värt att investera $ 50 för att köpa TuneUp. TuneUp har en enorm omfattande databas med musik, och genom att lyssna på dina spår kan den identifiera spåret, byta namn på det, ge album och till och med fixa metadata, inklusive att sätta in musikgenren och spårnummer för dig.

RIM kan tillåta Indien att övervaka Instant Messenger-tjänsten

RIM kan tillåta Indien att övervaka Instant Messenger-tjänsten

Research In Motion kan ha nått ett avtal i Indien om att ge tillgång till sin snabbmeddelandeservice. enligt rapporterna