Oplichters gebruiken spoofing om jou telefonisch geld afhandig te maken | (AVROTROS)
Een bug in alle belangrijke browsers kan het voor criminelen gemakkelijker maken om online bankreferenties te stelen met een nieuw type aanval genaamd "in-session phishing", volgens onderzoekers van beveiligingsleverancier Trusteer.
Phishing tijdens de sessie (pdf) biedt de slechteriken een oplossing voor het grootste probleem van phishers: hoe nieuwe slachtoffers te bereiken. In een traditionele phishing-aanval sturen de oplichters miljoenen vervalste e-mailberichten in de vorm van vermommingen zodat ze eruit zien alsof ze afkomstig zijn van legitieme bedrijven, zoals banken of online betaalbedrijven.
Deze berichten worden vaak geblokkeerd door spamfiltersoftware, maar met phishing tijdens de sessie verdwijnt het e-mailbericht uit de vergelijking en wordt het vervangen door een pop-upvenster.
[Meer informatie: hoe u malware van uw Windows-pc verwijdert]Zo gaat het een aanval zou werken: de slechteriken zouden een legitieme website hacken en HTML-code inplanten die eruitziet als een pop-upvenster voor beveiligingswaarschuwingen. De pop-up zou vervolgens het slachtoffer vragen om wachtwoord- en inloggegevens in te voeren en mogelijk andere beveiligingsvragen beantwoorden die door de banken worden gebruikt om de identiteit van hun klanten te verifiëren.
Voor aanvallers zou het moeilijk zijn de slachtoffers ervan te overtuigen dat deze pop een opzegging is legitiem. Maar dankzij een fout in de JavaScript-engines van alle meest gebruikte browsers, is er een manier om dit soort aanvallen geloofwaardiger te maken, zei Amit Klein, de technologie-officier van Trusteer.
Door de manier te bestuderen waarop browsers werken Klein zei dat hij een manier heeft gevonden om vast te stellen of iemand op een website is ingelogd, mits hij een bepaalde JavaScript-functie gebruikt. Klein zou de functie niet noemen omdat het criminelen een manier zou geven om de aanval te lanceren, maar hij heeft browser-makers op de hoogte gebracht en verwacht dat de bug uiteindelijk zal worden gepatcht. Tot die tijd kunnen criminelen die de fout ontdekken code schrijven die controleert of Web-surfers zijn ingelogd op, bijvoorbeeld, een vooraf bepaalde lijst van 100 banksites. "In plaats van dit willekeurige phishing-bericht alleen maar te laten verschijnen, kan een aanvaller verfijnder worden door te onderzoeken of de gebruiker momenteel is ingelogd op een van de 100 websites van financiële instellingen," zei hij.
"Het feit dat u" Op dit moment biedt de Phishing-boodschap veel geloofwaardigheid, "voegde hij eraan toe.
Beveiligingsonderzoekers hebben andere manieren ontwikkeld om te bepalen of een slachtoffer op een bepaalde site is ingelogd, maar ze zijn niet altijd betrouwbaar. Klein zei dat zijn techniek niet altijd werkt, maar hij kan worden gebruikt op veel sites, waaronder banken, online retailers, gaming- en sociale netwerksites.
RIM kan toestaan dat India Instant Messenger-service controleert
Research In Motion heeft mogelijk een overeenkomst bereikt in India over het verlenen van toegang tot de chatfunctie van Instant Messenger; volgens rapporten
Toegang tot uw online account toestaan zonder wachtwoord
Met AccessURL Chrome-extensie kunt u uw online account delen en toestaan zonder gebruikersnaam en wachtwoord voor een ingestelde periode weggeven.
Twitter kan gebruikers misschien toestaan tweets snel te bewerken
Twitter CEO Jack Dorsey heeft verklaard dat het bedrijf overweegt de optie tweet bewerken toe te voegen nadat deze is verzonden, zoals gesuggereerd door Snowden ...