Problema Phishing no navegador - Site enganoso à frente
O phishing em sessão (pdf) dá aos malfeitores uma solução para o maior problema enfrentado pelos phishers atualmente: como alcançar novas vítimas. Em um ataque tradicional de phishing, os golpistas enviam milhões de mensagens falsas de e-mail disfarçadas de empresas legítimas, como bancos ou empresas de pagamento online.
Essas mensagens são freqüentemente bloqueadas por softwares de filtragem de spam, mas com phishing em sessão, a mensagem de e-mail é retirada da equação, substituída por uma janela do navegador pop-up.
[Leitura adicional: Como remover malware do seu PC Windows]
Veja como um ataque funcionaria: os bandidos hackeariam um site legítimo e plantariam um código HTML que se parecesse com uma janela de alerta de segurança pop-up. O pop-up, então, pedia à vítima que inserisse a senha e as informações de login e possivelmente respondesse a outras perguntas de segurança usadas pelos bancos para verificar a identidade de seus clientes.Para os invasores, a parte difícil seria convencer as vítimas desse pop a notificação é legítima. Mas graças a um bug encontrado nos mecanismos de JavaScript de todos os navegadores mais usados, há uma maneira de fazer esse tipo de ataque parecer mais crível, disse Amit Klein, diretor de tecnologia da Trusteer.
Estudando a maneira como os navegadores Usando JavaScript, Klein disse que encontrou uma maneira de identificar se alguém está logado ou não em um site, desde que ele use uma certa função JavaScript. Klein não nomearia a função porque daria aos criminosos uma forma de lançar o ataque, mas ele notificou os fabricantes de navegadores e espera que o bug acabe sendo consertado.
Até então, criminosos que descobrem a falha podem escrever códigos que verificam. se os internautas estão logados, por exemplo, uma lista pré-determinada de 100 sites bancários. "Em vez de simplesmente mostrar essa mensagem de phishing aleatória, um invasor pode ficar mais sofisticado sondando e descobrindo se o usuário está atualmente conectado a um dos 100 sites de instituições financeiras", disse ele.
"O fato de você" Atualmente, a sessão interna dá muita credibilidade à mensagem de phishing ", acrescentou.
Pesquisadores de segurança desenvolveram outras maneiras de determinar se uma vítima está conectada a um determinado site, mas nem sempre são confiáveis. Klein disse que sua técnica nem sempre funciona, mas pode ser usada em muitos sites, incluindo bancos, varejistas on-line, jogos e sites de redes sociais.
Microsoft: Cyber-criminosos explorando Bug de Windows sem patch Bug
A Microsoft afirmou que criminosos estão começando a explorar uma falha sem correção em seu servidor IIS.
Projeto do Senado para permitir acesso governamental sem mandado a seus serviços online
Projeto de lei do Senado que, em um ponto, protegeria e-mail a privacidade foi para o lado oposto e permitiria a vigilância governamental de serviços on-line sem um mandado se aprovada em lei.
A Índia revelou um protótipo de um tablet que espera vender por US $ 35 ou menos. Assumindo que a Índia pode encontrar um parceiro para produzir em massa o tablet e chegar perto da sua meta de preço, o que você pode esperar com um tablet PC praticamente descartável? O protótipo de tablet de US $ 35 da Índia terá uma variação do sistema operacional Linux de código aberto. Tem 2Gb de RAM, mas sem armazenamento interno - contando com um cartão de memória removível. O dispositivo tem uma porta USB e
No lado do software, o tablet de US $ 35 tem um leitor de PDF, player multimídia, videoconferência, navegador da Web e processador de texto. O valor do player multimídia dependerá de sua compatibilidade com os formatos populares de arquivos de áudio e vídeo. A funcionalidade do processador de texto dependerá de sua capacidade de criar, visualizar ou editar arquivos no formato Microsoft Word.