브라우저 버그로 인해 전자 메일없이 피싱이 허용 될 수 있음

모든 주요 브라우저에서 발견 된 버그로 인해 범죄자가 "인 세션 피싱 (in-session phishing)"이라는 새로운 유형의 공격을 사용하여보다 쉽게 ​​온라인 뱅킹 자격 증명을 도용 할 수 있습니다.

인시던트 피싱 (pdf)은 피싱 공격자가 직면 한 가장 큰 문제, 즉 새로운 희생자를 찾아내는 방법에 대한 악의적 인 사람의 해결책을 제공합니다. 전통적인 피싱 공격에서 사기범은 은행이나 온라인 지불 회사와 같은 합법적 인 회사에서 보낸 것처럼 위장한 수백만 개의 가짜 전자 메일 메시지를 발송합니다.

이러한 메시지는 스팸 필터링 소프트웨어로 차단되는 경우가 많지만 인 - 세션 피싱을 사용하면 전자 메일 메시지가 팝업 식 브라우저 창으로 바뀌어 방정식에서 제거됩니다.

[추가 정보: Windows PC에서 맬웨어를 제거하는 방법]

공격 방법 나쁜 사람들은 합법적 인 웹 사이트를 해킹하고 팝업 보안 경고창처럼 보이는 HTML 코드를 심어 둡니다. 팝업은 피해자가 비밀번호와 로그인 정보를 입력하도록 요청하고, 은행이 고객의 신원을 확인하기 위해 사용하는 다른 보안 질문에 대답 할 수 있습니다.

공격자의 경우 어려운 부분은이 팝업으로 피해자를 납득시킬 수 있습니다 위로 통지는 합법적입니다. 그러나 가장 널리 사용되는 모든 브라우저의 JavaScript 엔진에서 발견 된 버그 덕분에이 유형의 공격을 더 믿을만한 것으로 만드는 방법이 있다고 Trusteer의 CTO 인 Amit Klein은 말했습니다.

브라우저 방식을 연구함으로써 Klein은 JavaScript를 사용하여 누군가 특정 웹 사이트에 로그인했는지 여부를 식별 할 수있는 방법을 찾았습니다. Klein은 범인이 공격을 시작할 수있는 방법을 제공 할 것이기 때문에이 기능의 이름을 밝히지 않았지만 그는 브라우저 제조사에 통보했으며 버그가 결국 패치 될 것으로 예상했다.

그 때까지 결함을 발견 한 범죄자는 웹 서퍼가 예를 들어 사전 결정된 100 개의 은행 사이트 목록에 로그인했는지 여부 그는 "이 피싱 메일이 갑자기 나타나기 만하면 공격자는 사용자가 현재 100 개 금융 기관 웹 사이트 중 하나에 로그인했는지 여부를 알아 내고 조사하여 더 정교해질 수있다"고 말했다.

현재 피싱 메일에 대한 신뢰도를 높이고있다 "고 덧붙였다.

보안 연구원은 피해자가 특정 사이트에 로그인했는지 여부를 확인하는 다른 방법을 개발했지만 항상 신뢰할만한 것은 아니다. Klein은 그의 기술이 항상 작동하는 것은 아니지만 은행, 온라인 소매 업체, 게임 및 소셜 네트워킹 사이트 등 많은 사이트에서 사용할 수 있다고 말했다.