NIE WIEDER WERBUNG auf dem Smartphone! | OwnGalaxy
Ein Fehler in allen gängigen Browsern könnte es Kriminellen erleichtern, Online-Banking-Zugangsdaten mit einem neuen Angriffstyp namens "In-Session-Phishing" zu stehlen, so Forscher des Sicherheitsanbieters Trusteer.
In-Session-Phishing (pdf) gibt den bösen Jungs eine Lösung für das größte Problem, mit dem Phisher heutzutage konfrontiert sind: Wie man neue Opfer erreicht. Bei einem traditionellen Phishing-Angriff verschicken die Betrüger Millionen gefälschter E-Mail-Nachrichten, die so getarnt sind, als kämen sie von legitimen Unternehmen wie Banken oder Online-Payment-Unternehmen.
Diese Nachrichten werden häufig durch Spamfilter-Software blockiert Beim In-Session-Phishing wird die E-Mail-Nachricht aus der Gleichung entfernt und durch ein Popup-Browserfenster ersetzt.
[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]So geht ein Angriff würde funktionieren: Die bösen Jungs würden eine legitime Website hacken und HTML-Code pflanzen, der wie ein Popup-Sicherheitsalarmfenster aussieht. Das Pop-up würde dann das Opfer bitten, Passwort und Anmeldeinformationen einzugeben und möglicherweise andere Sicherheitsfragen zu beantworten, die von den Banken verwendet werden, um die Identität ihrer Kunden zu verifizieren.
Für Angreifer wäre der schwierige Teil, die Opfer davon zu überzeugen Die Benachrichtigung ist legitim. Aber dank eines Bugs, der in den JavaScript-Engines aller gebräuchlichsten Browser gefunden wurde, gibt es eine Möglichkeit, diese Art von Angriffen glaubwürdiger erscheinen zu lassen, sagte Amit Klein, Chief Technology Officer von Trusteer.
Durch das Studium der Browser Wenn er JavaScript verwendet, sagt Klein, dass er einen Weg gefunden hat, um festzustellen, ob jemand bei einer Website angemeldet ist oder nicht, sofern er eine bestimmte JavaScript-Funktion verwendet. Klein würde die Funktion nicht benennen, weil sie Kriminellen eine Möglichkeit geben würde, den Angriff zu starten, aber er hat Browserhersteller benachrichtigt und erwartet, dass der Bug schließlich gepatcht wird.
Bis dahin könnten Kriminelle, die den Fehler entdecken, Code schreiben, der prüft ob Web-Surfer angemeldet sind, zum Beispiel eine vorgegebene Liste von 100 Banking-Sites. "Anstatt nur diese zufällige Phishing-Nachricht anzuzeigen, kann ein Angreifer raffinierter vorgehen, indem er herausfindet, ob der Benutzer derzeit auf einer der 100 Websites von Finanzinstituten angemeldet ist", sagte er.
"Die Tatsache, dass Sie" Die derzeit stattfindende Sitzung verleiht der Phishing-Nachricht eine Menge Glaubwürdigkeit ", fügte er hinzu.
Sicherheitsforscher haben andere Methoden entwickelt, um festzustellen, ob ein Opfer an einer bestimmten Site angemeldet ist, aber nicht immer zuverlässig. Klein sagte, dass seine Technik nicht immer funktioniert, aber sie kann auf vielen Websites verwendet werden, darunter Banken, Online-Einzelhändler, Spiele und soziale Netzwerke.
Kann ich Office wieder aktivieren, ohne es zu verlieren?
Kevin Germino möchte wissen, ob er Microsoft Office auf einer neu formatierten Festplatte neu installieren kann, ohne einen zu verlieren die Lizenzen, um es zu verwenden.
Blockieren oder zulassen, Cookies von Drittanbietern zulassen: IE, Chrome, Firefox, Opera
Sehen Sie, wie Sie verweigern, blockieren können , akzeptieren, erlauben Sie Drittanbieter-Cookies und Website-Daten in Internet Explorer, Chrome, Firefox, Opera Browsern unter Windows 8.
Blockieren oder zulassen. OneClickFirewall ist ein kostenloses Tool, mit dem Sie mit OneClickFirewall den Internetzugriff blockieren oder zulassen können von Anwendungen über das Kontextmenü.
Firewalls zu verstehen war eine schwierige Aufgabe. Eine