211service.com
Een portaal naar uw wachtwoorden
Een dief die geld wil verdienen door online gevoelige informatie te stelen, kan inbreken in de banksystemen die dergelijke gegevens opslaan of ze grijpen terwijl ze via een onveilige verbinding reizen. Maar tegenwoordig is het veel gemakkelijker om in plaats daarvan te gaan phishing, met andere woorden, onoplettende internetgebruikers overtuigen om dergelijke informatie zelf te overhandigen. Om dit te doen, ontwerpen phishers meestal nepversies van echte websites, zoals een bank of een online winkel, en lokken ze onwetende websurfers ertoe hun inloggegevens of creditcardgegevens in te voeren. Een veelvoorkomende truc is om ze binnen te halen met een e-mail die beweert van een echte bank te komen, maar in werkelijkheid links bevat naar een van de nepsites van de phishers.
Potentiële slachtoffers raken echter bekend met deze elementaire phishing-aanval en veel e-mail- en browserleveranciers hebben tegenmaatregelen genomen om hen te beschermen. Dus phishers zijn op zoek naar nieuwe manieren om onoplettende mensen te steken, zegt Amit klein , CTO van vertrouwenspersoon , gevestigd in Tel Aviv, Israël. Zo wordt de microblogsite Twitter steeds vaker gebruikt om phishinglinks te verspreiden.
Desalniettemin zegt Klein dat de [basis]aanval in de toekomst niet zo succesvol zal zijn als tot nu toe, en in een poging om toekomstige phishing-aanvallen te voorkomen, zoekt zijn bedrijf naar betere manieren om mensen geld af te troggelen voordat de slechteriken kunnen dat. Een verontrustende nieuwe tactiek die door sommige phishers wordt onderzocht, zegt Klein, is het hacken van een legitieme website om kwaadaardige code te injecteren die een pop-upvenster oproept waarin de gebruikersnamen en wachtwoorden van individuen worden gevraagd voor een banksite. Deze benadering is echter van beperkte waarde, aangezien de meeste gebruikers wantrouwend zullen staan tegenover het plotselinge verzoek.
NAAR kwetsbaarheid in grote browsers die onlangs door Trusteer zijn ontdekt, zou deze truc veel gevaarlijker kunnen maken, door phishing tijdens de sessie en een meer op maat gemaakte aanval toe te staan. Met behulp van deze nieuwe kwetsbaarheid kon een phisher via de gehackte site detecteren wanneer een gebruiker al was ingelogd op een bankwebsite. De gehackte site kan dan een pop-up openen die de gebruiker waarschuwt dat haar sessie is verlopen en haar vraagt om haar inloggegevens opnieuw in te voeren. Deze aanpak zou minder snel een rode vlag opwerpen, zegt Klein, omdat de pop-up niet helemaal uit de lucht komt vallen.

Phishing 2.0 : Een kwetsbaarheid die recentelijk is ontdekt door beveiligingsbedrijf Trusteer stelt aanvallers in staat pop-ups te lanceren die overeenkomen met die van een bank waarbij een gebruiker al is ingelogd, zoals hierboven weergegeven.
De belangrijkste kwetsbaarheid die door de Israëlische onderzoekers is ontdekt, is een webbrowserfout waardoor de phisher kan zien welke andere websites een persoon bezoekt. Klein legt uit dat een bepaalde JavaScript-functie, die vaak wordt gebruikt door online retailers, financiële instellingen en andere sites, een voetafdruk achterlaat die laat zien dat de gebruiker is ingelogd op die site. Klein zegt dat beveiligingen zoals pop-upblokkers de aanval niet per se zouden laten ontsporen, omdat de gehackte site zelf kan worden gewijzigd om te lijken op een verzoek om opnieuw in te loggen.
Ik vind het geweldig dat we proberen extra locaties van phishing-aanvallen zoals deze te identificeren, zegt Nitesh Dhanjani , een onafhankelijke beveiligingsonderzoeker die phishing-methoden en -trends bestudeert. Voorlopig, zegt Dhanjani, gaat dit soort aanvallen de technische mogelijkheden van de gemiddelde phisher te boven. De lat ligt veel te laag om deel te nemen aan het phishing-spel, dus de phishers hebben geen reden om te evolueren naar een geavanceerde gemeenschap, zegt hij. Omdat gebruikers echter beter beschermd zijn tegen de meest elementaire soorten aanvallen, zegt hij, zou de technische lat voor phishers kunnen stijgen: misschien zullen we dan iets meer geavanceerde technieken in phishing-kits zien geïntegreerd.
Klein zegt dat Microsoft, Apple en Mozilla hem hebben verteld dat ze van plan zijn om fixes uit te geven voor de kwetsbaarheid in de browser die door Trusteer is ontdekt. Hij voegt eraan toe dat gebruikers zichzelf kunnen beschermen door voorzichtig uit te loggen bij bank- en e-commercesites voordat ze andere websites bezoeken.