Fanesurfing truer nettbanker
En ny sårbarhet er oppdaget i alle de største nettleserne.
Sikkerhetsselskapet Trusteer advarer mot et nytt sikkerhetshull i alle kjente nettlesere. Angrepsmetoden kalles ”in-session phishing”, og innebærer at hackere kan stjele påloggingsinformasjon hvis man surfer på flere nettsteder samtidig, skriver Computerworlds internasjonale nyhetstjeneste.
Mange bruker såkalt ”fanebasert” surfing, det vil si å ha flere nettsteder åpne samtidig – rett og slett av effektivitetshensyn. Men det er ikke bare-bare, for hvis man driver med sin nettbank og surfer inn på feil nettsted, kan det bære galt av sted.
Nettbankfiske
Slik fungerer svindelen:
1. Brukeren logger seg på sin nettbank
2. Brukeren surfer på andre nettsteder samtidig, og kommer inn på et nettsted som er hacket, med kode som åpner et pop-up vindu, hvis den merker at brukeren anvender en nettbank.
3. Gjennom pop-up-en blir brukeren bedt om å oppgi all mulig informasjon, som kan utnyttes.
Svakhet i Javascript
Ved å studere hvordan nettleserne bruker Javascript, har Trusteer nemlig funnet en metode som kan identifisere når du er logget inn på en konkret nettside. Ved å målrette angrepet til når brukeren er logget inn på nettbanken, kan et skreddersydd pop-up vindu virke troverdig.
Phishing har tradisjonelt vært gjennomført per epost, der brukerne lar seg lure til å gå inn på et nettsted og oppgi informasjon. Likevel er det i økende grad phishing-nettsteder som benytter seg av andre metoder, fordi epost-kanalen begynner å bli så kjent.