Door de kwetsbaarheid in het JavaScript kunnen cybercriminelen een andere tactiek toepassen dan het versturen van duizenden e-mails. Dat concludeert beveiligingsbureau Trusteer.

Pop-up tijdens het internetbakieren

Trusteer stelt in een onderzoek (pdf) dat phishers dankzij het lek in het JavaScript van browsers zoals IE en Firefox tijdens een internetsessie van een gebruiker een HTML-code kunnen plaatsen. Die code verschijnt vervolgens als een pop-up over een beveiligde internetpagina van een internetbankiermodule. In de pop-up wordt gevraagd om persoonlijke gegevens en wachtwoorden van de bankrekening nogmaals in te voeren. Ook webwinkels en andere online diensten met beveiligde sessies lopen gevaar.

Zulke pop-ups worden meestal door filters geweerd, maar doordat criminelen door het lek direct toegang hebben tot een beveiligde internetsessie, omzeilen ze de filter.

Overtuigend

Maar volgens Amit Klein, de CTO van Trusteer, stelt de kwetsbaarheid in JavaScript er voor zorgt dat phishers hun hengelpogingen overtuigender kunnen presenteren aan hun slachtoffers. Want doordat cybercriminelen dankzij het lek toegang krijgen tot een beveiligde sessie van een gebruiker, is een internetgebruiker eerder geneigd gehoor te geven aan de oproep. "En doordat je midden in een sessie zit, komt zo'n pop-up erg authentiek over," aldus Klein.

De CTO heeft de makers van de browsers op de hoogte gesteld van het lek en verwacht dat de problemen binnenkort verholpen zullen zijn. Trusteer heeft verder geen details van de JavaScript-kwetsbaarheid openbaar gemaakt om cybercriminelen niet in de kaart te spelen.

Klein geeft ook een drietal algemene adviezen om te voorkomen dat cybercriminelen toegang krijgen tot een beveiligde sessie, zoals het gebruiken van browser securitytools en het wantrouwen van pop-ups. Vooral het uitloggen na een versleutelde websessie is volgens Klein erg belangrijk.

Gevaarlijk

Pop-ups zijn geen nieuw middel van phishers om argeloze doelwitten te bereiken. In 2004 maakte cybercriminelen gebruik van een lek in verschillende browsers wat hun in staat stelde om hun praktijken uit te voeren zonder slachtoffers te hoeven mailen.

En criminelen wisten in 2005 ook al een keer gebruik te maken van een lek in Javascript om slachtoffers te bereiken.

Maar volgens Trusteer is het voor het eerst dat pop-up phishing kan plaatsvinden tijdens een beveiligde internetsessie. En dat maakt deze nieuwe aanvalsmethode een stuk gevaarlijker.