Phishing z pomocą banku

Złodzieje bezlitośnie wykorzystują naiwność użytkowników bankowości internetowej. A czasami pomagają im w tym same banki.

Problem phishera sprowadza się do tego, jak przekonać ofiarę że oddaje dane do swojego konta uprawnionej jednostce banku. Jak to zrobić? Na początku wystarczyła po prostu strona udająca szatę graficzną banku. Później z pomocą przyszły dziury w Explorerze dzięki którym adres wyglądał tak jakby strona znajdowała się na serwerze banku (a w rzeczywistości była gdzie indziej).

Ale co zrobić gdy użytkownik widzi taki adres jak na rysunku? Z pomocą włamywaczom przyszła tutaj dziura w stronach banku, pozwalająca na wykorzystanie techniki Cross Site Scripting (XSS). Przekierowanie na stronę złodzieja jest wówczas umieszczone w bardzo długim (ale niewidocznym dla ofiary) adresie URL.

Ponieważ fałszywą stronę ładuje oryginalna strona banku, więc wszystko się zgadza - adres WWW a nawet certyfikat SSL, będący do tej pory najskuteczniejszą ochroną dla bardziej dociekliwych użytkowników.

Błędy tego rodzaju jest bardzo łatwo popełnić w aplikacjach webowych pisanych w PHP, ASP i innych popularnych językach. Ryzyko pojawia się zawsze tam gdzie od użytkownika przyjmowany jest jakiś tekst (formularz kontaktowy, książka gości, forum), który następnie jest publikowany na stronie. Jeśli tekst ten nie jest filtrowany pod kątem znaczników HTML to istnieje ryzyko ataku XSS.

Więcej informacji: http://news.netcraft.com/archives/2004/12/06/suntrust_site_exploited_by_fraudsters.html
Tak wygląda strona po ataku XSS. W rzeczywistości formularz jest fałszywy i wysyła wpisane dane na serwer złodzieja:

Strona SunTrust po ataku XSSStrona SunTrust po ataku XSS

Dołącz do dyskusji
Bądź pierwszy i zostaw komentarz.