Phishing zonder email

De traditionele phishingaanval gaat via email; de oplichters sturen een bulk aan mails de deur uit met bijvoorbeeld een waarschuwing dat de bankgegevens van de ontvanger op de tocht staan. Die ontvanger moet dan denken dat de mail door de bank is gestuurd, mits de mail niet door de spamfilters wordt onderschept.

Het bereiken van hun slachtoffers is dus het grootste probleem voor phishers, maar inside phishing maakt dat opeens een stuk eenvoudiger. Met deze methode wordt namelijk de email uit het proces genomen en vervangen door een pop-up in de browser. Het gevaarlijke is dat die pop-up opkomt terwijl de gebruiker bij zijn bank is ingelogd, waardoor die veel eerder geneigd zal zijn om de boodschap te geloven.

Om zo'n aanval op poten te zetten, moeten de oplichters wel een legitieme website hacken. De gebruikte html-code ziet eruit als een popupvenster met een beveiligingswaarschuwing, waarin wordt verzocht om de logingegevens nogmaals in te voeren. Dankzij een bug in de JavaScript engines van alle grote browsers, is het nu mogelijk om een dergelijke aanval geloofwaardig te maken, dat zegt Amit Klein, de chief technology officer van Trusteer.

Door de manier te bestuderen waarop browsers JavaScript gebruiken, heeft Klein een manier gevonden om te bepalen of iemand bij een website is ingelogd. Dit kan door gebruik te maken van een bepaalde functie, maar Klein zegt niet om welke functie het precies gaat, om criminelen niet op ideeën te brengen. Wel heeft hij browserproducenten op de hoogte gesteld, zodat ze de bug kunnen pletten.

Overigens zijn in het verleden meer manieren gevonden om te bepalen of iemand ingelogd is bij een website, maar die zijn niet altijd even betrouwbaar. Klein zegt dat ook zijn manier niet altijd werkt, maar dat die wel op veel plaatsen kan worden ingezet. Naast banken lopen ook webwinkels en netwerksites gevaar.

Bron: Techworld