Бъг в браузерите улеснява phishing-a.

Грешката, открита в повечето от използваните браузери позволява хакерите да осъществят нов вид атака, наречена phishing in-session и представлява нов начин за удар върху потребителите. Една нормална phishing атака се базира на изпращането на мейли от домейн на утвърдени компании или банки. Много често тези писма биват блокирани от антиспам защити. Ето защо хакерите търсят друг начин за намиране на жертви, който да не разчита на е-мейлите.

При phishing in-session е-мейлите са заместени от появата на предупредително pop-up съобщение. За да се осъществи този замисъл е необходимо да бъде хакнат един обикновен сайт и да му се внедри HTML код, който симулира прозорец с предупреждаващо за сигурността съобщение. иска се жертвата да впише своя информация, по възможност банкова, идентифицираща клиента.

При този вид атака най-трудно е жертвите да бъдат убедени, че този прозорец е легален, но благодарение на една дупка в JavaScript-а при по-голямата част от браузерите, хакерите успяват успешно да прикрият намеренията си да представят съобщението напълно правдоподобно. Amit Klein уверява, че е открил начин да бъде установено ако някой е пипал сайт чрез пропуските в JavaScript.

За сега той се въздържа да спомене каква точно е тази дупка в системата, за да не улеснява киберпрестъпниците, но я е посочил на разработващите системите на браузерите. Очакваме тази грешка да бъде поправена в скоро време и възможностите на хакерите за злонамерени действия да бъдат ограничени до минимум.