خطأ في المتصفح قد يسمح بالتصيد الاحتيالي بدون البريد الإلكتروني

يمكن لعلة وجدت في جميع المتصفحات الرئيسية أن تسهل على المجرمين سرقة بيانات الاعتماد المصرفية عبر الإنترنت باستخدام نوع جديد من الهجوم يدعى "التصيد الاحتيالي أثناء الجلسة" ، وفقًا لباحثين في شركة أمان Trusteer.

التصيد الاحتيالي أثناء الجلسة (pdf) يعطي الأشرار حلاً للمشكلة الأكبر التي تواجه المتصيدون في هذه الأيام: كيفية الوصول إلى ضحايا جدد. في هجوم تصيد تقليدي ، يرسل المحتالون ملايين من رسائل البريد الإلكتروني الهاتفية المتخفية ليبدو وكأنهم يأتون من شركات شرعية ، مثل البنوك أو شركات الدفع عبر الإنترنت.

غالباً ما يتم حظر هذه الرسائل بواسطة برنامج تصفية الرسائل غير المرغوب فيها ، ولكن مع التصيد الاحتيالي أثناء الجلسة ، يتم إخراج رسالة البريد الإلكتروني من المعادلة ، استبدالها بإطار مستعرض منبثق

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز الكمبيوتر الذي يعمل بنظام تشغيل Windows]

إليك طريقة الهجوم ستعمل: الأشرار يختلق موقع ويب شرعي ويزرع كود HTML الذي يشبه نافذة تنبيه أمان منبثقة. عندئذٍ ، تطلب النافذة المنبثقة من الضحية إدخال كلمة المرور ومعلومات تسجيل الدخول ، وربما الإجابة عن أسئلة أمان أخرى تستخدمها البنوك للتحقق من هوية عملائها.

بالنسبة للمهاجمين ، فإن الجزء الصعب هو إقناع الضحايا بأن هذه البوب -حتى إشعار شرعي. ولكن بفضل وجود خلل في محركات جافا سكريبت في جميع المتصفحات الأكثر استخدامًا ، هناك طريقة لجعل هذا النوع من الهجوم يبدو أكثر قابلية للتصديق ، كما يقول أميت كلاين ، كبير مسؤولي التقنية في ترستير.

من خلال دراسة طريقة المتصفحات باستخدام جافا سكريبت ، قال كلاين إنه وجد طريقة لتحديد ما إذا كان شخص ما قد قام بتسجيل الدخول إلى موقع ويب ، بشرط أن يستخدموا وظيفة JavaScript معينة. لم يذكر كلين اسم الوظيفة لأنها ستمنح المجرمين وسيلة لإطلاق الهجوم ، لكنه أخطر صانعي المتصفح ويتوقع أن يتم إصلاح الخطأ في النهاية.

وحتى ذلك الحين ، يمكن للمجرمين الذين يكتشفون الخلل كتابة التعليمات البرمجية التي تحقق ما إذا كان متصفحي الويب يسجلون الدخول ، على سبيل المثال ، قائمة محددة مسبقًا من 100 موقع مصرفي. وقال "بدلا من مجرد ظهور هذه الرسالة التصيد العشوائية ، يمكن للمهاجم الحصول على أكثر تطورا من خلال البحث ومعرفة ما إذا كان المستخدم قد تم تسجيله حاليا في واحد من 100 موقع مؤسسة مالية على الإنترنت". وأضاف أن إعادة البحث في الوقت الحالي تضفي الكثير من المصداقية على رسالة التصيد الاحتيالي.

طور باحثو الأمن طرقًا أخرى لتحديد ما إذا كانت الضحية قد سجلت دخولها إلى موقع معين ، لكنها ليست موثوقة دائمًا. قال كلاين إن أسلوبه لا يعمل دائمًا ولكن يمكن استخدامه في العديد من المواقع بما في ذلك البنوك وتجار التجزئة عبر الإنترنت ومواقع الألعاب والشبكات الاجتماعية.