Teardown прохождение #2 ♦ ТАЙМЕР. РАСШИРЯЕМ ДОКИ ♦
セキュリティベンダーのTrusteerの調査によると、すべての主要ブラウザで見つかったバグは、犯罪者が「インセッションフィッシング」と呼ばれる新しいタイプの攻撃を使用して簡単に盗む可能性がある。
インセッションのフィッシング(pdf)は、最近、フィッシング犯が直面している最大の問題、つまり新しい被害者への到達方法を悪意のある人に解決します。伝統的なフィッシング攻撃では、詐欺師は、銀行やオンライン決済会社などの正当な企業から送られてきたように見せかけた数百万の電子メールを送信します。
[詳しい情報:Windows PCからマルウェアを削除する方法]
攻撃の仕組みは以下のとおりです。悪意のある人は合法的なWebサイトをハックし、ポップアップセキュリティ警告ウィンドウのようなHTMLコードを植えるだろう。ポップアップでは、被害者にパスワードとログイン情報の入力を要求し、おそらく銀行が顧客の身元を確認するために使用したその他のセキュリティ質問に答えます。攻撃者にとって、このポップアップアップ通知は合法です。しかし、最も広く使用されているすべてのブラウザのJavaScriptエンジンで見つかったバグのおかげで、この種の攻撃をより信憑性のあるものにする方法があると、TrusteerのCTO、Amit Klein氏は述べています。
Klein氏はJavaScriptを使用して、特定のJavaScript機能を使用する場合、誰かがWebサイトにログインしているかどうかを特定する方法を発見したという。クライン氏は、犯罪者に攻撃を仕掛ける方法を与えるため、この機能に名前をつけなかったが、ブラウザメーカーに通知して、最終的にバグが修正されると予想している。
その脆弱性を発見した犯罪者は、ウェブサーファーが、例えば、100の銀行サイトの所定のリストにログインしているかどうか。 「このランダムなフィッシングメッセージをポップアップさせるのではなく、攻撃者はプロービングにより、ユーザーが現在100の金融機関のWebサイトの1つにログインしているかどうかを調べることによって、より洗練されたものにすることができます。現在のセッション中にフィッシングメッセージに対する信頼性が高まっている」とセキュリティ研究者らは、被害者が特定のサイトにログインしているかどうかを判断する他の方法を開発したが、 Klein氏は、彼の技術は必ずしも機能するとは限らず、銀行、オンライン小売店、ゲーム、ソーシャルネットワーキングサイトなど、多くのサイトで利用できると述べています。