211service.com
Portál pro vaše hesla
Zloděj, který chce vydělat peníze krádeží citlivých informací online, se může vloupat do bankovních systémů, které taková data uchovávají, nebo je získat, když cestují přes nezabezpečené připojení. Ale v dnešní době je mnohem snazší místo toho přejít na phishing – jinými slovy přesvědčit neopatrné uživatele internetu, aby takové informace předali sami. Za tímto účelem phisheři obvykle navrhují falešné verze skutečných webových stránek – jako je banka nebo online prodejce – a lákají nevědomé surfaře na webu, aby zadali své přihlašovací údaje nebo údaje o kreditní kartě. Běžným trikem je nasát je e-mailem, který tvrdí, že pochází ze skutečné banky, ale ve skutečnosti obsahuje odkazy na jeden z falešných webů phisherů.
Potenciální oběti se však s tímto základním phishingovým útokem seznamují a mnoho prodejců e-mailů a prohlížečů zavedlo protiopatření na jejich ochranu. Takže phisheři hledají nové způsoby, jak bodnout neopatrné, říká Amit malý , CTO of Pověřenec se sídlem v Tel Avivu v Izraeli. K distribuci phishingových odkazů se stále častěji využívá například mikroblogovací stránka Twitter.
Klein nicméně říká, že [základní] útok nebude v budoucnu tak úspěšný, jako byl doposud, a ve snaze předejít budoucím phishingovým útokům hledá jeho společnost lepší způsoby, jak lidi ošidit o hotovost dříve, než zlí mohou. Znepokojivá nová taktika, kterou zkoumají někteří phisheři, říká Klein, zahrnuje nabourání se do legitimní webové stránky za účelem vložení škodlivého kódu, který vyvolá vyskakovací okno požadující uživatelská jména a hesla jednotlivců pro bankovní stránky. Tento přístup má však omezenou hodnotu, protože většina uživatelů bude mít podezření na náhlý požadavek.
NA zranitelnost ve velkých prohlížečích, které nedávno objevil Trusteer, by mohl tento trik učinit mnohem nebezpečnějším tím, že umožní phishing během relace a více přizpůsobený útok. Pomocí této nové zranitelnosti mohl phisher prostřednictvím napadeného webu zjistit, kdy byl uživatel již přihlášen k bankovnímu webu. Napadený web by pak mohl spustit vyskakovací okno s varováním uživatele, že její relace vypršela, a požádat ji, aby znovu zadala své přihlašovací údaje. Tento přístup by s menší pravděpodobností vyvolal červenou vlajku, říká Klein, protože vyskakovací okno se neobjevuje zcela zčistajasna.
Phishing 2.0 : Chyba zabezpečení, kterou nedávno objevila bezpečnostní společnost Trusteer, by útočníkům umožnila spouštět vyskakovací okna odpovídající těm z banky, do které je uživatel již přihlášen, jak je uvedeno výše.
Hlavní zranitelnost, kterou objevili izraelští výzkumníci, je chyba webového prohlížeče, která phisherovi umožňuje zjistit, jaké další webové stránky člověk navštěvuje. Klein vysvětluje, že určitá funkce JavaScriptu, běžně používaná online prodejci, finančními institucemi a dalšími weby, zanechává stopu prozrazující, že uživatel je na daný web přihlášen. Klein říká, že ochrany, jako je blokování vyskakovacích oken, by nemusely nutně vykolejit útok, protože hacknutý web by mohl být sám upraven tak, aby vypadal jako požadavek na opětovné přihlášení.
Myslím, že je skvělé, že se snažíme identifikovat další místa phishingových útoků, jako je tento, říká Nitesh Dhanjani , nezávislý bezpečnostní výzkumník, který studuje metody a trendy phishingu. Dhanjani říká, že v současné době je tento druh útoku mimo technické schopnosti průměrného phishera. Laťka je příliš nízko na to, aby vstoupila do phishingové hry, takže phisheři nemají důvod se vyvinout v sofistikovanou komunitu, říká. Jak jsou však uživatelé lépe chráněni proti nejzákladnějším typům útoků, říká, technická laťka pro phishery by se mohla začít zvedat: Možná právě tehdy uvidíme o něco pokročilejší techniky začleněné do phishingových sad.
Klein říká, že Microsoft, Apple a Mozilla mu řekli, že plánují vydat opravy zranitelnosti prohlížeče, kterou objevil Trusteer. Dodává, že uživatelé se mohou chránit tím, že se před návštěvou jiných webů pečlivě odhlásí ze stránek bankovnictví a elektronického obchodování.