Fanesurfing truer nettbanker

Sikkerhetsselskapet Trusteer advarer mot et nytt sikkerhetshull i alle kjente nettlesere. Angrepsmetoden kalles ”in-session phishing”, og innebærer at hackere kan stjele påloggingsinformasjon hvis man surfer på flere nettsteder samtidig, skriver Computerworlds internasjonale nyhetstjeneste.

Mange bruker såkalt ”fanebasert” surfing, det vil si å ha flere nettsteder åpne samtidig – rett og slett av effektivitetshensyn. Men det er ikke bare-bare, for hvis man driver med sin nettbank og surfer inn på feil nettsted, kan det bære galt av sted.

Nettbankfiske

Slik fungerer svindelen:

1. Brukeren logger seg på sin nettbank

2. Brukeren surfer på andre nettsteder samtidig, og kommer inn på et nettsted som er hacket, med kode som åpner et pop-up vindu, hvis den merker at brukeren anvender en nettbank.

3. Gjennom pop-up-en blir brukeren bedt om å oppgi all mulig informasjon, som kan utnyttes.

Svakhet i Javascript

Ved å studere hvordan nettleserne bruker Javascript, har Trusteer nemlig funnet en metode som kan identifisere når du er logget inn på en konkret nettside. Ved å målrette angrepet til når brukeren er logget inn på nettbanken, kan et skreddersydd pop-up vindu virke troverdig.

Phishing har tradisjonelt vært gjennomført per epost, der brukerne lar seg lure til å gå inn på et nettsted og oppgi informasjon. Likevel er det i økende grad phishing-nettsteder som benytter seg av andre metoder, fordi epost-kanalen begynner å bli så kjent.