In-Session: nuovo tipo di phishing per il 2009

Esempio di phishingL'evoluzione delle tecnologie e del web non porta miglioramenti solo per gli utenti ma anche per i malviventi, infatti Trusteer (società americana che si occupa di sicurezza) ha rilasciato un comunicato in cui spiega come si presenterà il phishing nel 2009, chiamato "In-Session".

Affinchè funzioni occorre che un utente in una tab del browser si logghi validamente sul vero sito della sua banca (o nel suo account ebay, ecc) ed una volta terminate le operazioni, non la chiuda, anzi ne apra un'altra (il tanto amato tabbed browsing), e finisca su un sito contenente il codice maligno: questo creerà un pop-up che avvertirà l'utente della scadenza della sessione nella prima tab e chiederà di reinserire i dati di accesso, entrandone così in possesso.

Se fino a pochi anni fa era sufficiente eliminare dalla propria casella di posta le email apparentemente provenienti da banche degli USA per stare tranquilli, da qualche tempo i truffatori informatici hanno messo radici anche in Italia, cercando di carpire dati agli utenti di istituti bancari e di credito nazionali; finora è bastato non abboccare alle esche gettate (non è affatto difficile) per non rimanere fregati, mentre adesso la minaccia si fa più complessa. Il bug utilizzato per l'In-Session phishing risiede nel motore JavaScript utilizzato dai browser più comuni, come Internet Explorer, Safari, Firefox e Chrome.

Via | ArsTechnica.com

  • shares
  • Mail