Сотрудники компании Trusteer нашли новый вид фишинга — фишеры научились похищать информацию с помощью бага в JavaScript.
JavaScript используется в онлайн-играх и сайтами банков. Обнаруженная уязвимость дает возможность фишеру определить, в какой момент пользователь ввел логин и пароль на сайте. Сайт Webplanet.ru уточняет, что кража информации возможна только если пользователь заходит под своим логином на безопасный сайт (например в систему онлайн-банкинга) и, не закрывая этого окна, открывает новую вкладку или окно с сайтом, на котором размещен вредоносный код.
После активизации, вредоносный код вызывает всплывающее окно на безопасном ресурсе. В этом окне он сообщает о разрыве сессии и рекомендует еще раз ввести логин и пароль. Если пользователь это сделает, то таким образом раскроет свои личные даннные мошенникам.
В Trusteer говорят, что фиктивные всплывающие окна весьма различаются по внешнему виду и зачастую содержат, кроме просьбы ввести личные данные повторно, еще и «навесы» вроде контрольных вопросов и др.
Этот метод хищения информации существенно отличается от обычных рассылок, в которых пользователю рекомендуют пройти по ссылке и на подставном сайте ввести данные. Чаще всего, такие письма маскируются под сообщения от банков, сбои Gmail, или под послания администрации платежных систем.
С другой стороны, специалисты Trusteer высказывают сомнения в эффективности нового метода. Чтобы он заработал должен случится целый ряд совпадений — пользователь должен открыть окно безопасного сайта, эксплуатировать JavaScript и попасть на зараженный сайт. Вероятность такого совпадения не очень велика, если только мошенники не начнут заражать сверхпопулярные сайты.
Как предупреждают специалисты, названной уязвимости подвержены следующие браузеры: Mozilla Firefox, Internet Explorer, Google Chrome и Safari. Разработчики этих браузеров уже извещены о проблеме и, скорее всего, уязвимость в ближайшее время будет исправлена.
