A hiba a Javascript nyelvet kezelő modulban van, és minden nagyobb böngészőt érint. A kihasználásával kihagyható az adathalász támadásokból az emailes beetető fázis, ahol a legtöbb ilyen próbálkozás elbukik a spamszűrőn vagy a felhasználó gyanakvásán.
A Trusteer online biztonságtechnikai cég súlyos hibáról adott hírt, ami az összes nagyobb böngészőt érinti, és aminek a kihasználásával újra feltámadhat az in-session phishingnek nevezett adathalász technika, ami 2006-ban bukkant fel először a neten.
A klasszikus adathalászat úgy működik, hogy az online bűnözők milliószám szétküldözgetett spamekkel támadják be a felhasználókat, amelyek úgy vannak elkészítve, mintha hivatalos levelek például egy banktól, vagy más, jelszavakkal erősen védett weboldaltól. A levélben a link egy olyan weboldalra vezet, ami nagyon hasonlít az eredetire, csak persze belépésnél a gyanútlan júzer nem a banknak, hanem a kamu oldal készítőjének adja meg a jelszavát, számlaszámát és a többi személyes adatát.
Szerencsére az ilyesfajta emailekkel szemben már jó adag gyanakvás fejlődött ki a netezők többségében, és a spamszűrők is jó hatásfokkal védenek meg tőlük. Az in-session phishing ezzel szemben az egész folyamatból kihagyja a leveles fázist, és közvetlenül a weben támad. Az alternatív megoldás egy feltört weboldalba rejtett rosszindulatú kód, ami érzékeli, ha a felhasználó bejelentkezett egy bank vagy online áruház rendszerébe, majd feldob egy ablakot, amiben a jelszó (számlaszám, biztonsági kód, akármi) megerősítését kéri. A módszer veszélye, hogy kikerüli a spamszűrők védelmét, és az ember sokkal kevésbé vonakodik megadni az adatait, ha előtte már bejelentkezett a bank weboldalára, a szokásos biztonsági procedúrákon felül.
Mindezt egy hiba teszi lehetővé, ami a böngészők Javascript nyelvet kezelő rendszerében van (a biztonsági szakemberek ennél közelebbi meghatározást nem adtak, hogy ne segítsék a hackereket), és amit kihasználva megállapítható, hogy a felhasználó éppen be van-e jelentkezve egy bizonyos oldalra. A rosszindulatú kódnak már csak egy adatbázisra van szüksége banki weboldalak címeivel, és ha a biztonsági résen keresztül észreveszi, hogy ezek egyikére belépett a felhasználó, már dobja is fel neki az adott bankra szabott kérdezősködő ablakot. Az időzítés tökéletes, a gyanútlan felhasználó pedig önként adja át a jelszavait.
A hiba felfedezője, Amit Klein már értesítette a nagyobb böngészők fejlesztőit a biztonsági rés pontos részleteiről, így remélhetőleg a javítócsomagok még azelőtt megérkeznek, hogy a hackerek tömegesen kezdenék kihasználni a hibát.
Kövesse az Indexet Facebookon is!
Követem!
