Az adatlopáshoz vezető támadások sikere főleg azon múlik, hogy az internetező az első pillanatban milyen benyomást szerez a weboldalról. Ha rögtön észreveszi, hogy az url nem passzol a weboldal tartalmához, vagy talál valami szokatlant, akkor megmenekül a bűnözők karmából. Akkor van gond, ha elsőre minden rendben van, és később, a háttérben alakul át a weboldal.
Aza Raskin, a Mozilla Firefox böngésző egyik vezető fejlesztője nagyon trükkös támadási módszert talált ki, amely kivédésére időben fel kell készülni.
Változó tartalom
A támadó először elvezeti az áldozatát egy normális weboldalra, hogy ne keltsen gyanút. A felhasználói szokásokból arra lehet következtetni, hogy az áldozat valószínűleg nyitva felejti a weboldalt egy háttérben lévő böngészőlapon. Ha a júzer hosszú ideig nem nézi meg újra a weboldalt, akkor egy javascript kód lecseréli a weboldal favikonját (ez jelenik meg a böngészőlap fülén a weboldal neve mellett), majd a weboldal tartalmát is újratölti. Például megjelenít egy Gmail-szerű bejelentkező felületet.
Amikor az áldozat ismét a böngészőlapra téved, akkor azt hiszi, hogy a levelezését érheti el. Megadja a felhasználónevét és a jelszavát, amit a támadó azonnal elment a saját szerverén. Az áldozatot ezután rögtön a Gmail valódi weboldalára irányítja, ahol valószínűleg már korábban is be volt jelentkezve, tehát betöltődik a levelezése. A támadó pedig megszerezte a jelszót, amivel még több adatot szerezhet az áldozatról.
A bűnöző a CSS history miner nevű eszközzel azt is megnézheti, hogy az áldozat milyen weboldalakat szokott betölteni (Citibank, Facebook, Twitter stb.), tehát nem csak olyan hamis portállal kell próbálkoznia, amit a célszemély valóban használ.
Raskin szerint a felhasználónév és jelszó önmagában nem elég biztonságos hitelesítési megoldás, és szerinte ezért lesz fontosa Firefox Account Manager, amely nyilvántartja, hogy a felhasználó kicsoda.