Komponen

Bug Pelayar Boleh Membolehkan Phishing Tanpa E-mel

Massive Google Hack Leaves Millions Of Users At Risk In Phishing Scam | TODAY

Massive Google Hack Leaves Millions Of Users At Risk In Phishing Scam | TODAY
Anonim

Bug yang dijumpai di semua pelayar utama boleh memudahkan penjenayah mencuri kelayakan perbankan dalam talian menggunakan jenis serangan baru yang disebut "phishing dalam sesi," demikian menurut penyelidik di penjual keselamatan Trusteer.

Phishing dalam sesi (pdf) memberikan orang jahat penyelesaian kepada masalah terbesar yang dihadapi oleh penipu hari ini: bagaimana untuk mencapai mangsa baru. Dalam serangan phishing tradisional, penipu mengeluarkan jutaan mesej e-mel yang tersamar yang kelihatan seperti mereka berasal dari syarikat yang sah, seperti bank atau syarikat pembayaran dalam talian.

Mesej-mesej tersebut sering disekat oleh perisian penapisan spam, tetapi dengan phishing dalam sesi, mesej e-mel dikeluarkan dari persamaan, digantikan oleh tetingkap penyemak imbas pop-up.

[Bacaan lanjut: Bagaimana untuk menghapuskan malware dari PC Windows Anda]

Berikut adalah cara serangan akan berfungsi: Orang jahat akan menggodam laman web yang sah dan menanam kod HTML yang kelihatan seperti tetingkap amaran keselamatan pop timbul. Pop-up kemudian akan meminta mangsa memasukkan kata laluan dan maklumat login, dan mungkin menjawab soalan-soalan keselamatan lain yang digunakan oleh bank untuk mengesahkan identiti pelanggan mereka.

Bagi penyerang, bahagian yang sukar akan menjadi korban yang meyakinkan bahawa pop ini -up notis adalah sah. Tetapi terima kasih kepada bug yang terdapat dalam enjin JavaScript semua pelayar yang paling banyak digunakan, ada cara untuk membuat serangan jenis ini kelihatan lebih dipercayai, kata Amit Klein, ketua pegawai teknologi Trusteer.

Dengan mempelajari cara penyemak imbas menggunakan JavaScript, Klein berkata dia telah menemui cara untuk mengenal pasti sama ada seseorang itu telah login ke laman web, dengan syarat mereka menggunakan fungsi JavaScript tertentu. Klein tidak akan namakan fungsi itu kerana ia akan memberi penjenayah sebagai cara untuk melancarkan serangan itu, tetapi ia telah memberitahu pembuat perayauan dan mengharapkan bug akhirnya akan ditambal.

Sehingga itu, penjenayah yang menemui cacat itu boleh menulis kod yang memeriksa sama ada pelayar Web masuk, sebagai contoh, senarai 100 tapak perbankan yang telah ditetapkan. "Daripada hanya menangkap mesej phishing secara rawak ini, penyerang boleh mendapatkan lebih canggih dengan meneliti dan mencari tahu sama ada pengguna sedang log masuk ke salah satu daripada 100 laman web institusi kewangan," katanya. "Hakikat bahawa anda ' "Pada masa ini, sesi in-session memberi banyak kredibiliti kepada mesej pancingan data," katanya.

Penyelidik keselamatan telah mengembangkan cara lain untuk menentukan sama ada mangsa telah melog masuk ke laman web tertentu, tetapi mereka tidak selalu boleh dipercayai. Klein berkata tekniknya tidak semestinya berfungsi tetapi ia boleh digunakan di banyak laman web termasuk bank, peruncit dalam talian, permainan dan laman rangkaian sosial.

Lebih dari 60 juta orang melawat Wikipedia setiap bulan, tetapi kerana sesiapa sahaja boleh mengedit maklumat di laman web ini , maklumat yang boleh dipercayai adalah sukar untuk memisahkan daripada suntingan oleh sumber yang tidak boleh dipercayai. Wikipedia begitu besar sehingga Microsoft hampir mengakui ini sebabnya ia membunuh Ensiklopedia Encarta.

Lebih dari 60 juta orang melawat Wikipedia setiap bulan, tetapi kerana sesiapa sahaja boleh mengedit maklumat di laman web ini , maklumat yang boleh dipercayai adalah sukar untuk memisahkan daripada suntingan oleh sumber yang tidak boleh dipercayai. Wikipedia begitu besar sehingga Microsoft hampir mengakui ini sebabnya ia membunuh Ensiklopedia Encarta.

Walau bagaimanapun, dengan sistem pengekodan warna yang baru di tempatnya, lebih ramai orang melihat dan mengedit teks baru di Wikipedia, semakin "percaya" pengeditan awal mendapatkan, beralih dari oren ke putih. Dengan cara ini, perkara-perkara yang orang setuju dengan lebih kerap akan tetap sebagai maklumat yang boleh dipercayai.

U170 boleh menjalankan aplikasi multimedia penuh apabila ia disambungkan ke port USB mesin tuan rumah. Kotak berbilang U170 boleh menambah pengguna tambahan kepada mesin tuan rumah, yang boleh lebih murah daripada membeli mesin berasingan, kata Carsten Puls, naib presiden pemasaran strategik di Ncomputing.

U170 boleh menjalankan aplikasi multimedia penuh apabila ia disambungkan ke port USB mesin tuan rumah. Kotak berbilang U170 boleh menambah pengguna tambahan kepada mesin tuan rumah, yang boleh lebih murah daripada membeli mesin berasingan, kata Carsten Puls, naib presiden pemasaran strategik di Ncomputing.

Peranti ini mempunyai port video, port audio dan dua port USB untuk papan kekunci dan tetikus. "Satu-satunya perkara yang perlu anda sambungkan semula ke PC adalah sambungan USB tunggal," kata Puls.

Lirik adalah aspek yang paling penting dalam lagu, dan kadang-kadang sebagai pendengar muzik, kami ingin mengetahui lirik untuk menyanyi bersama. Mencari apa-apa lirik tertentu menggunakan Bing Lyrics adalah mudah, tetapi bagaimana jika kita boleh melakukannya tanpa perlu membuka penyemak imbas web - atau tanpa menggunakan Windows Media Player? Untuk mencari lirik fail muzik MP3 tanpa memerlukan penyemak imbas web dan pemain media, seseorang perlu memuat turun program kecil yang dipanggil

Lirik adalah aspek yang paling penting dalam lagu, dan kadang-kadang sebagai pendengar muzik, kami ingin mengetahui lirik untuk menyanyi bersama. Mencari apa-apa lirik tertentu menggunakan Bing Lyrics adalah mudah, tetapi bagaimana jika kita boleh melakukannya tanpa perlu membuka penyemak imbas web - atau tanpa menggunakan Windows Media Player? Untuk mencari lirik fail muzik MP3 tanpa memerlukan penyemak imbas web dan pemain media, seseorang perlu memuat turun program kecil yang dipanggil

Lyrics Finder