Trusteer , società statunitense specializzata in cybersicurezza, afferma di aver individuato una debolezza nel comportamento di tutti i browser in circolazione, inclusi Firefox e Internet Explorer, che apre la strada ad attacchi di phishing ancor più subdoli ed efficaci di quelli attuali.
L’ in-session phishing , così è stato battezzato il nuovo metodo di attacco, può consentire ai phisher di veicolare i propri attacchi non più attraverso email non sollecitate o siti “clonati”, ma per mezzo di finestre pop-up truffaldine capaci di comparire direttamente al di sopra di siti noti, come quelli di banche, assicurazioni o negozi online. Tali pop-up potrebbero avere lo stesso aspetto del sito legittimo con cui si vogliono confondere, e richiedere all’utente l’immissione di username, password e/o numero di carta di credito.
Trusteer spiega che un tipico attacco in-session phishing potrebbe avvenire come segue. Un utente si autentica sul sito web della propria banca per eseguire certe operazioni, terminate le quali lascia la finestra della banca aperta e naviga con lo stesso browser su altri siti. Dopo un certo periodo di tempo, appare sul desktop una finestra pop-up con una form per il log-in in tutto simile a quella della propria banca: il pop-up avvisa l’utente che la propria sessione è scaduta, invitandolo a inserire nuovamente le proprie credenziali. Secondo Trusteer, questo potrebbe essere sufficiente per ingannare molti navigatori, inclusi quelli generalmente più prudenti.
La società americana, che afferma di non aver ancora pubblicato i dettagli delle proprie scoperte, precisa che questo “nuovo tipo di attacco” non sfrutta un vero e proprio bug dei browser, bensì un comportamento standard di tutti motori JavaScript.
Per non creare inutili allarmismi, Trusteer ammette che la tecnica descritta non è attualmente così semplice da sfruttare. Innanzitutto, ma questa è probabilmente la parte meno difficile, il phisher necessita di un sito compromesso e abbastanza frequentato su cui inoculare il codice dell’exploit; in seconda istanza, l’aggressore deve trovare un modo per conoscere quali siti protetti stia visitando in quel momento l’utente, così da adeguare l’aspetto e i contenuti del pop-up di conseguenza. “Questa seconda condizione è difficile da ottenere, ma non impossibile”, ha commentato Trusteer. “Ci sono già varie tecniche documentate per fare questa cosa”.
Il team di esperti dell’azienda afferma di essere già in contatto con i principali sviluppatori di browser web per trovare insieme una soluzione al problema.
Ti potrebbe interessare
14 gen 2009