Ny phishingmetode angriper nettbankkunder
Det er oppdaget et sikkerhetshull i en Javascript-funksjon som skal kunne gjøre det enklere for kriminelle å få tak i sensitiv informasjon ved bruk av nettbank.
Denne typen angrep har fått navnet "in-session phishing", ifølge forskere fra sikkerhetsselskapet Trusteer.
Tradisjonell phishing handler om å sende flere e-postmeldinger som ligner på ekte meldinger som tilsynelatende kommer fra banker eller betalingstjenester. Den nye metoden har erstattet e-postmeldinger med sprettoppvinduer.
Metoden forutsetter at angriperen har greid å bryte seg inn en ekte nettside og legger inn HTML-kode som gjør at brukeren får sprettoppvindu mens vedkommende er logget på banken eller betalingstjenesten. Vinduet ber brukeren om brukernavn og passord pluss eventuell annen sensitiv informasjon.
Kriminelle kan i teorien skrive en kode som sjekker om bestemte nettbrukere er logget på bestemte nettbanker, og dermed kan de utføre målrettede phishingforsøk.
Detaljene rundt "in-session phishing" finner du på yahoo.com (PDF-fil).
Sikkerhetstiltak
Sikkerhetsselskapet Trusteer anbefaler følgende tiltak mot denne typen angrep:
- Bruk nettlesere som beskytter mot nettsvindel.
- Vær kritisk til alle sprettoppvinduer som dukker opp mens du er logget på en nettbank eller en betalingstjeneste.
- Logg deg ut av nettbanken eller betalingstjenesten før du besøker andre nettsteder.
(Kilde: Yahoo! Tech News)
