Wtorek, 19 marca 2024
Dziennik wyroków i ogłoszeń sądowych
Rej Pr. 2512 | Wydanie nr 5867
Wtorek, 19 marca 2024
2011-03-21

Strzeż się! - cyberprzestępcy mają nowe metody

Cyberprzestępcy zajmujący się phishingiem mają nowy sposób, który pozwala im podważać działanie zabezpieczeń w nowoczesnych przeglądarkach takich jak Firefox i Chrome. W tym celu rozsyłają e-maile, które zamiast odnośników zawierają załączone dokumenty HTML. Taką metodę opisuje w blogu firma M86Security specjalizująca się w usługach zabezpieczających. W tej chwili nie wiadomo, jak wielu internautów dało się już złapać w tą pułapkę.

Kiedy odbiorca otwiera dokument HTML w przeglądarce, wyświetla mu się formularz PayPala, w którym prosi się go – jak zwykle z powodów związanych z jego bezpieczeństwem – o podanie danych logowania. Jako że formularz działa lokalnie na komputerze, filtr antyphishingowy nie zadziała, ponieważ interesują go jedynie zewnętrzne adresy URL.

Jednak kliknięcie przycisku Wyślij przekaże dane formularza do serwera pod kontrolą napastnika. Odbywa się to za pośrednictwem wywołania POST skierowanego do skryptu PHP zainstalowanego na przejętej maszynie. Jak twierdzi M86Security, także przed tym nie ostrzeże nas przeglądarka.

Mogłoby się wydawać, że browser przynajmniej przy wysyłaniu takich danych powinien ostrzegać użytkownika, ale według specjalistów są dwa powody, dla których tego nie robi. Po pierwsze użytkownicy przy wywołaniach POST nie są konfrontowani z wywoływanymi adresami URL, więc nie mogą również takich łańcuchów URL zgłaszać. Dlatego takie URL-e nie pojawiają się na czarnych listach filtrów przeglądarki. Z kolei jedynie nieliczni użytkownicy mogą wykorzystać kod źródłowy HTML w załączniku e-maila.

Druga przyczyna jest taka, że URL prowadzący do skryptu PHP z trudem da się zaklasyfikować jako stronę phishingową. Zważywszy na to, że nie ma kodu HTML do zbadania, który pozwalałby stwierdzić, czy dana strona nie podszywa się pod stronę banku, kontrola, która dałaby definitywne wyniki, jest bardzo trudna do przeprowadzenia.

Wszystko wskazuje na to, że w wyniku tych niedociągnięć już od kilku miesięcy działa wiele kampanii phishingowych. Firma M86Security nie wyjaśnia jednak, czy jej oceny odnoszą się jedynie do list filtrowania stosowanych przez Chrome'a, Firefoksa i inne przeglądarki, czy też uwzględniono w niej także producentów oprogramowania antywirusowego, którzy prowadzą własne listy dla swoich produktów filtrujących.