Computerworld News Service: Ifølge analytikere hos sikkerhedsleverandøren Trusteer giver 'in-session phishing' fiskerne en løsning på deres største problem: Hvordan de får fat i nye ofre.
I et traditionelt phishing-angreb, sender svindlere millioner af falske e-mails ud, der skal se ud som om, de kommer fra legitime virksomheder såsom banker eller internetbetalingsvirksomheder.
Disse e-mails bliver ofte blokeret af spamfiltre, men med in-session phishing er disse e-mails slet ikke en del af regnestykket, da de er skiftet ud med et pop-up-vindue direkte i browseren.
Det virker sådan her: Forbrydere hacker et legitimt website og planter html-kode, der laver et pop-up-vindue, der ligner en legitim sikkerhedsadvarsel. Dette pop-up-vindue beder brugeren om at indtaste brugernavn og kodeord og muligvis svare på andre sikkerhedsspørgsmål, som banker og lignende bruger til at bekræfte deres kunders identitet.
Kriminelle kigger over skulderen
Den svære del for angriberne vil være at overbevise ofrene om, at dette pop-up-vindue er legitimt. Men takket være en Java script-fejl i alle de mest brugte browsere er der en måde til at få denne slags angreb til at virke mere troværdige, mener Amit Klein, som er Trusteers teknologichef.
Ved at studere måden hvorpå browsere bruger JavaScript, siger Amit Klein, at han har fundet en måde at klarlægge, om nogen er logget ind på et website, forudsat at de bruger en bestemt JavaScript-funktion.
Amit Klein vil ikke offentliggøre hvilken funktion, der er tale om, da det ville gøre det muligt for kriminelle at udføre angrebet, men han har gjort browserproducenterne opmærksomme på problemet og forventer, at sårbarheden på et eller andet tidspunkt vil blive lukket med sikkerhedsopdateringer.
Indtil da kan kriminelle, der opdager fejlen, skrive kode, der kontrollerer, om internetbrugere er logget ind et sted baseret på en forudbestemt liste af eksempelvis bankers websites.
"I stedet for bare at poppe op med en tilfældig phishing-meddelelse, så kan angribere nu blive mere sofistikerede ved at undersøge og finde ud af, om en bruger aktuelt er logget ind på en af 100 finansinstitutioners websites," forklarer han.
"Det, at man på det aktuelle tidspunkt faktisk er logget ind, giver stor troværdighed til phishing-meddelelsen," tilføjer han.
Sikkerhedsanalytikere har udviklet andre metoder til at bestemme om et offer er logget ind på et bestemt site, men de er ikke altid pålidelige. Ifølge Klein virker hans teknik heller ikke altid, men kan derimod bruges på mange forskellige sites blandt andre banker, internetbutikker, spil- og sociale netværk.
Oversat af Thomas Bøndergaard
