c.m.g
16-01-2009, 09:38
pubblicato da Vincenzo Baiocco venerdì 16 gennaio 2009
http://static.blogo.it/downloadblog/phishing_esempio.gif
L’evoluzione delle tecnologie e del web non porta miglioramenti solo per gli utenti ma anche per i malviventi, infatti Trusteer (http://www.trusteer.com/) (società americana che si occupa di sicurezza) ha rilasciato un comunicato in cui spiega come si presenterà il phishing nel 2009, chiamato “In-Session (http://www.trusteer.com/files/In-session-phishing-advisory-2.pdf)“.
Affinchè funzioni occorre che un utente in una tab del browser si logghi validamente sul vero sito della sua banca (o nel suo account ebay (http://www.downloadblog.it/categoria/ebay), ecc) ed una volta terminate le operazioni, non la chiuda, anzi ne apra un’altra (il tanto amato tabbed browsing), e finisca su un sito contenente il codice maligno: questo creerà un pop-up che avvertirà l’utente della scadenza della sessione nella prima tab e chiederà di reinserire i dati di accesso, entrandone così in possesso.
Se fino a pochi anni fa era sufficiente eliminare dalla propria casella di posta le email apparentemente provenienti da banche degli USA per stare tranquilli, da qualche tempo i truffatori informatici hanno messo radici anche in Italia, cercando di carpire dati agli utenti di istituti bancari e di credito nazionali; finora è bastato non abboccare alle esche gettate (non è affatto difficile) per non rimanere fregati, mentre adesso la minaccia si fa più complessa. Il bug utilizzato per l’In-Session phishing risiede nel motore JavaScript utilizzato dai browser più comuni, come Internet Explorer (http://www.downloadblog.it/post/8550/cinque-utili-estensioni-per-internet-explorer-8), Safari (http://www.downloadblog.it/post/8632/trovata-pericolosa-vulnerabilita-in-safari), Firefox (http://www.downloadblog.it/categoria/firefox) e Chrome (http://www.downloadblog.it/post/8586/google-chrome-20-pre-beta).
Fonte: DownloadBlog (http://www.downloadblog.it/post/8641/in-session-nuovo-tipo-di-phishing-per-il-2009) Via | ArsTechnica.com (http://arstechnica.com/news.ars/post/20090113-new-method-of-phishmongering-could-fool-experienced-users.html)
http://static.blogo.it/downloadblog/phishing_esempio.gif
L’evoluzione delle tecnologie e del web non porta miglioramenti solo per gli utenti ma anche per i malviventi, infatti Trusteer (http://www.trusteer.com/) (società americana che si occupa di sicurezza) ha rilasciato un comunicato in cui spiega come si presenterà il phishing nel 2009, chiamato “In-Session (http://www.trusteer.com/files/In-session-phishing-advisory-2.pdf)“.
Affinchè funzioni occorre che un utente in una tab del browser si logghi validamente sul vero sito della sua banca (o nel suo account ebay (http://www.downloadblog.it/categoria/ebay), ecc) ed una volta terminate le operazioni, non la chiuda, anzi ne apra un’altra (il tanto amato tabbed browsing), e finisca su un sito contenente il codice maligno: questo creerà un pop-up che avvertirà l’utente della scadenza della sessione nella prima tab e chiederà di reinserire i dati di accesso, entrandone così in possesso.
Se fino a pochi anni fa era sufficiente eliminare dalla propria casella di posta le email apparentemente provenienti da banche degli USA per stare tranquilli, da qualche tempo i truffatori informatici hanno messo radici anche in Italia, cercando di carpire dati agli utenti di istituti bancari e di credito nazionali; finora è bastato non abboccare alle esche gettate (non è affatto difficile) per non rimanere fregati, mentre adesso la minaccia si fa più complessa. Il bug utilizzato per l’In-Session phishing risiede nel motore JavaScript utilizzato dai browser più comuni, come Internet Explorer (http://www.downloadblog.it/post/8550/cinque-utili-estensioni-per-internet-explorer-8), Safari (http://www.downloadblog.it/post/8632/trovata-pericolosa-vulnerabilita-in-safari), Firefox (http://www.downloadblog.it/categoria/firefox) e Chrome (http://www.downloadblog.it/post/8586/google-chrome-20-pre-beta).
Fonte: DownloadBlog (http://www.downloadblog.it/post/8641/in-session-nuovo-tipo-di-phishing-per-il-2009) Via | ArsTechnica.com (http://arstechnica.com/news.ars/post/20090113-new-method-of-phishmongering-could-fool-experienced-users.html)