ข้อผิดพลาดจากเบราเซอร์อาจทำให้ฟิชชิ่งไม่ใช้อีเมลล์

ข้อบกพร่องที่พบได้ในเบราว์เซอร์หลัก ๆ ทั้งหมดอาจทำให้อาชญากรสามารถขโมยข้อมูลรับรองด้านการธนาคารออนไลน์ได้ง่ายขึ้นโดยใช้การโจมตีแบบใหม่ที่เรียกว่า "ฟิชชิงในช่วง" ตามที่นักวิจัยของ Trusteer กล่าว

ฟิชชิงในเซสชั่น (pdf) ช่วยให้คนเลว ๆ สามารถแก้ปัญหาที่ใหญ่ที่สุดที่เผชิญกับ phishers วันนี้: วิธีการเข้าถึงผู้ที่ตกเป็นเหยื่อรายใหม่ ในการโจมตีแบบฟิชชิ่งแบบดั้งเดิมนักสแกมเมอร์ได้ส่งอีเมลปลอมจำนวนมากปลอมแปลงให้ดูเหมือนว่ามาจาก บริษัท ที่ถูกต้องตามกฎหมายเช่นธนาคารหรือ บริษัท การชำระเงินออนไลน์

ข้อความเหล่านั้นมักถูกบล็อกโดยซอฟต์แวร์กรองสแปม กับฟิชชิ่งในเซสชั่นข้อความอีเมลจะถูกนำออกจากสมการแทนที่ด้วยหน้าต่างเบราเซอร์แบบป๊อปอัป

[อ่านเพิ่มเติม: วิธีลบมัลแวร์ออกจากเครื่องพีซีที่ใช้ Windows ของคุณ]

นี่คือวิธีการโจมตี จะทำงาน: คนร้ายจะสับเว็บไซต์ที่ถูกต้องและสร้างรหัส HTML ที่ดูเหมือนหน้าต่างป๊อปอัปการแจ้งเตือนความปลอดภัย จากนั้นป๊อปอัปจะขอให้ผู้ที่ตกเป็นเหยื่อป้อนข้อมูลรหัสผ่านและข้อมูลการเข้าสู่ระบบและอาจตอบคำถามด้านความปลอดภัยอื่น ๆ ที่ธนาคารใช้ในการตรวจสอบตัวตนของลูกค้า

สำหรับผู้บุกรุกส่วนที่ยากจะเป็นเรื่องที่น่าเชื่อ - แจ้งให้ทราบล่วงหน้าถูกต้องตามกฎหมาย Amit Klein หัวหน้าเจ้าหน้าที่ฝ่ายเทคโนโลยีของ Trusteer กล่าวว่าด้วยข้อผิดพลาดที่พบในเครื่องยนต์ JavaScript ของเบราว์เซอร์ที่ใช้กันแพร่หลายมากที่สุดมีวิธีที่จะทำให้การโจมตีแบบนี้น่าเชื่อถือมากขึ้น

การศึกษาทางเบราว์เซอร์ ใช้ JavaScript, Klein กล่าวว่าเขาได้พบวิธีการระบุว่ามีคนเข้าสู่เว็บไซต์หรือไม่โดยใช้ฟังก์ชัน JavaScript บางอย่าง Klein จะไม่ตั้งชื่อฟังก์ชันนี้เนื่องจากจะทำให้อาชญากรสามารถโจมตีได้ แต่เขาได้แจ้งเตือนผู้ผลิตเบราว์เซอร์และคาดว่าข้อบกพร่องจะได้รับการแก้ไขในที่สุด

จนถึงตอนนั้นอาชญากรที่ค้นพบข้อบกพร่องสามารถเขียนโค้ดที่ตรวจสอบได้ ไม่ว่าจะเป็นการเข้าสู่ระบบของนักท่องเว็บตัวอย่างเช่นรายการที่กำหนดไว้ล่วงหน้า 100 เว็บไซต์ธนาคาร "แทนที่จะโจมตีข้อความฟิชชิ่งแบบสุ่มนี้ผู้บุกรุกจะได้รับความซับซ้อนมากขึ้นโดยการตรวจสอบและค้นหาว่าผู้ใช้ล็อกอินเข้าสู่เว็บไซต์สถาบันการเงินแห่งหนึ่งใน 100 แห่งหรือไม่" เขากล่าว

"ความจริงที่ว่าคุณ" ปัจจุบันมีเซ็กส์ให้ความเชื่อถือกับข้อความฟิชชิ่งมาก ๆ "เขากล่าวเพิ่ม

นักวิจัยด้านความปลอดภัยได้พัฒนาวิธีอื่นในการระบุว่าเหยื่อถูกบันทึกลงในไซต์บางแห่งหรือไม่เชื่อถือได้ Klein กล่าวว่าเทคนิคของเขาไม่ได้ผลเสมอไป แต่สามารถนำไปใช้ได้ในหลาย ๆ ด้านเช่นธนาคารผู้ค้าปลีกออนไลน์เกมและไซต์เครือข่ายสังคม