Un nuovo tipo di Phishing, In-Session più difficile da scoprire.



Ormai conosciamo il Phishing, lo spiego brevemente per chi non lo conosce, si tratta di siti uguali all’originale fatti allo scopo di rubare ID ed Password, l’ignaro navigatore verrà ingannato e credendo di accedere alla sua banca, o servizio web darà la password a un truffatore. Per difendersi bastava non rispondere alle email che per i motivi più svariati chiedevano un accesso immediato al sito, però il link dato sulla mail portava  al sito truffaldino al posto di quello reale.

In-Session è l’evoluzione del phishing, ecco come funziona:

Fruttando un bug che risiede sul motore JavaScript dei broswer più comuni, basta loggiarsi al vero sito, se si apre una scheda del broswer su un sito contenente il codice malevolo, si aprirà un pop up Phishing che informa che la password del sito della prima scheda è scaduta ed inviterà ad rimetterla, in modo da rubarli.

Per la prima volta a parlato di In-Session la Trusteer (una società americana specializzata in  sicurezza)

Qui il testo originale in inglese http://www.trusteer.com/files/In-session-phishing-advisory-2.pdf

Annunci sponsorizzati:
Condividi su Facebook Condividi su Twitter!
Pinterest