Exploring JavaScript and the Web Audio API by Sam Green and Hugh Zabriskie
Bug pronađen u svim glavnim preglednicima mogao bi olakšati kriminalcima ukrasti vjerodajnice online bankarstva pomoću novog tipa napada koji se naziva "phishing u sesiji", prema istraživačima Trusteera za sigurnost.
Krađa identiteta u sekciji (pdf) daje lošim ljudima rješenje najvećeg problema s kojima se suočavaju phishers ovih dana: kako doći do novih žrtava. U tradicionalnom slučaju krađe identiteta, zlonamjerni korisnici šalju milijune lažnih poruka e-pošte prerušene kako bi izgledale kao da dolaze iz legitimnih tvrtki, kao što su banke ili internetske tvrtke za plaćanje.
Te poruke često su blokirane softverom za filtriranje neželjenih poruka, no s phishing-om u sekciji, poruka e-pošte izvađena je iz jednadžbe, zamijenjena skočnim prozorom preglednika.
[Dodatno čitanje: Kako ukloniti zlonamjerni softver s vašeg Windows računala]Evo kako napad će raditi: Loši dečki bi hack legitimne web stranice i biljka HTML kod koji izgleda kao pop-up prozor sigurnosne upozorenja. Pop-up bi onda zatražio žrtvu da unese lozinku i podatke za prijavu, a možda i odgovori na druga sigurnosna pitanja koja bankari koriste kako bi potvrdili identitet svojih kupaca.
Za napadače, tvrdi dio bi uvjerio žrtve da ovaj pop obavijest je legitimna. No, zahvaljujući bugu pronađenim u JavaScript motorima svih najčešće korištenih preglednika, postoji način da se taj tip napada čini vjerodostojnijim, rekao je Amit Klein, glavni tehnološki direktor Trusteera.
Proučavanjem načina preglednika koristite JavaScript, Klein je rekao kako je pronašao način da se utvrdi je li netko prijavljen na web stranicu, pod uvjetom da koriste određenu JavaScript funkciju. Klein ne bi nazvao tu funkciju jer bi kriminalcima omogućio način pokretanja napada, ali on je obavijestio proizvođače preglednika i očekuje da će se greška na kraju popraviti.
Do tada, kriminalci koji otkrivaju taj nedostatak mogli bi napisati kod koji provjerava jesu li web surfere prijavljeni, na primjer, unaprijed određen popis od 100 bankarskih mjesta. "Umjesto da puknu ovu slučajnu poruku o krađi identiteta, napadač može biti sofisticiraniji tako što će provjeriti je li korisnik trenutačno prijavljen na jednu od 100 web stranica financijskih institucija", rekao je. "Činjenica da ste" "
Istraživači sigurnosti razvili su i druge načine kako bi utvrdili je li žrtva prijavljena na određeno mjesto, ali oni nisu uvijek pouzdani. Klein je rekao kako njegova tehnika ne funkcionira uvijek, ali se može koristiti na mnogim mjestima, uključujući banke, on-line trgovce na malo, igranje i društvene mreže.
Rumunjski priznao krađu identiteta, mogao bi se suočiti s pet godina
Rumunjski muškarac izjasnio se krivim za saveznu optužbu za prijevaru utorak zbog njegove uloge u postavljanju lažnog web web stranice kako bi se ukrali ...
Napori za smanjenje i borbu protiv krađe identiteta događaju se diljem američke vlade, navodi se u izvješću Ministarstva pravde Sjedinjenih Američkih Država i Američke trgovinske komisije. Izvještaj služi kao ažuriranje na naporima US Task Force za krađu identiteta, koju je osnovao predsjednik George Bush u svibnju 2006.
Među koracima poduzetim u protekle dvije godine, prema izvješću:
ŠTo je krađe identiteta i kako prepoznati napade za krađu identiteta
Ovaj post će povećati vašu svijest o krađi identiteta jer vam govori kako izbjeći napade za zaštitu od krađe identiteta i ostati sigurna na liniji. Također se raspravlja o vrsti i obilježjima phishing napada.