Bezpečnostní díry v nejpoužívanějších webových prohlížečích umožňují útočníkům provádět phishing i bez použití e-mailu. Lze při něm získat přihlašovací údaje třeba k on-line bankovnictví kompromitováním úplně jiného serveru...
In-session phishing lze pokládat za relativně nový typ útoku, s nímž se ale v budoucnosti budeme zřejmě setkávat stále častěji.
Společnost Truester zveřejnila analýzu, z níž vyplývá, že podvodníci se namísto phishingových e-mailů (na něž si již uživatelé dávají pozor, eventuálně je zachytí spamové filtry) stále více pokoušejí ošálit uživatele pomocí vyskakovacích oken (pop-up).
Úspěšný útok vyžaduje kompromitovat nějaký legitimní webový, ideálně často používaný server nebo přimět uživatele k návštěvě podvodných stránek. Útočník použije HTML kód zobrazující vyskakovací okno, ideálně v designu příslušného serveru. V tomto okně jsou pak po uživateli požadovány důvěrné informace, například přihlašovací hesla nebo údaje o bankovním účtu či platební kartě. Okno se například může vydávat za výstrahu zabezpečení či vypršení relace a požadovat opětovné zadání hesla.
Amit Klein, CTO společnosti Truester, uvádí ve své analýze, že útok umožňuje to, jak nejrozšířenější webové prohlížeče zpracovávají JavaScript. Chyby v interpretaci javasriptového kódu způsobují, že útočník může zjistit, že uživatel je právě přihlášen k nějaké službě. To je důležité, protože v takový okamžik se mu nemusí zobrazovat nějaké náhodné okno, ale zpráva ušitá na míru příslušné službě, která proto působí věrohodně.
Klíčové je, že přitom není nutné, aby útočník kompromitoval bankovní server nebo obecně server služby, na níž se zaměřuje (to by pak mohl krádež údajů nejspíš uskutečnit i jinak). Stačí kód vložit na jiné kompromitované nebo zcela podvodné stránky a sledovat, zda uživatel, který je prohlíží zrovna není přihlášen např. do 100 nejvýznamnějších on-line transakčních služeb. V takovém případě se mu zobrazí vyskakovací okno, které bude uživatel pokládat za odpovídající jinému právě otevřenému oknu prohlížeče.
Máte třeba otevřený bankovní účet a k tomu (kompromitovanou) stránku novin. Ideální chvíle pro zobrazení okna...
Kromě útoku na transakční služby se tímto způsobem kradou dnes hlavně přístupové údaje do on-line her či sociálních sítí. Navíc se in-session phishing za určitých podmínek zřejmě obejde i bez JavaScriptu...
Obrana? Snad jen při práci s bankovním účtem nedělat nic jiného a z citlivých relací se po skončení práce důsledně ihned odhlašovat (nebo alespoň ukončit a znovu spustit prohlížeč).