Home > Notícias

Falha em browser permite uso de pop-up para ataque de phishing

Novo golpe "in-session phishing" usa falha de JavaScrip na maioria dos browsers para plantar pop-up falso que pede senhas.

IDG News Service/EUA

13/01/2009 às 9h07

Foto:

Pesquisadores da empresa de softwares de segurança Trusteer descobriram um bug presente na maioria dos browsers, que pode facilitar o furto de informações bancárias online usando um novo tipo de ataque chamado "in-session phishing".

O novo phishing interno (arquivo em pdf) pode facilitar o trabalho dos criminosos em encontrar novas vítimas, já que substitui o uso do e-mail falso por uma janela pop-up no navegador.

Por meio deste novo tipo de golpe, o criminoso pode hackear um site legítimo e plantar um código html que se parece com um alerta de segurança via pop-up. A janela pode pedir que a vítima digite login e senha ou até outros dados geralmente solicitados em operações de internet banking.

O problema seria convencer a vítima de que a janela pop-up é verdadeira. No entando, devido a uma falha no engine de JavaScript da maioria dos browsers mais populares, o pop-up pode parecer confiável, alerta Amit Klein, Chief Technology Officer (CTO) da Trusteer.

Criminosos que descrobrirem como usar o bug podem criar códigos que checam se o internauta está logado, por exemplo, em uma lista pré-determinada de 100 sites de bancos, comércio eletrônico, jogos ou redes sociais.

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail