Nowy typ ataku może znacznie ułatwić oszustom atak phisingowy

Jeden ze specjalistów ds. bezpieczeństwa stworzył nowy typ ataku, który może ułatwić atak phishingowy. Pozwala bowiem idealnie skopiować fałszywy URL, w taki sposób aby wyglądał jakby prowadził do legalnej strony.

Phishing to w zasadzie bardzo prosta, lecz niezwykle skuteczna forma ataku, która nie wymaga żadnej specjalistycznej wiedzy. Wystarczy bowiem nakłonić ofiarę do kliknięcia w specjalnie spreparowany link przekierowujący ją do fałszywej strony internetowej. Ofiara wchodząc na taką witrynę wykorzystuje na niej prawdziwe dane do logowania, które w ten sposób wpadają w ręce oszustów.

Oszuści wykorzystując tę formę ataku liczą na roztargnienie użytkownika i to, że nie będzie się dokładnie przyglądał linkowi. Zazwyczaj różni się on bowiem od URL prowadzącego do legalnej strony. Można więc stosunkowo łatwo się przed takim atakiem obronić. A przynajmniej można było to zrobić do niedawna, gdyż jeden ze specjalistów ds. bezpieczeństwa opracował zupełnie nowy typ ataku.

Mr.d0x stworzył atak Browser-in-the-Browser, który umożliwia hakerom odtworzenie wyskakującego okienka używanego do jednokrotnego używania. Takie okienko będzie wówczas wyświetlało poprawny URL, w ten sposób oszukując użytkownika. Sprawdzenie adresu nic już nie da, ponieważ nie będzie się on w żaden sposób różnił od prawdziwego.

Specjalista twierdzi, że szablony są bardzo łatwe w użyciu i można je wykorzystać w takich przeglądarkach jak Google Chrome. Odkrycie specjalisty otwiera przed oszustami nowe możliwości atakowania użytkowników za pomocą phishingu. Dzięki temu nawet doświadczony użytkownik nie będzie w stanie odkryć, że podany URL prowadzi do fałszywej strony.

Miejmy nadzieję, że producenci przeglądarek szybko znajdą sposób na zlikwidowanie exploita, chroniąc w ten sposób użytkowników przed phishingiem.

Źródło