Cyberprzestępcy wykorzystali luki pozwalające na atak XSS (Cross-Site Scripting) w serwisie WWW włoskiego banku, by wyłudzić dane jego klientów.

W specjalnie spreparowanym odnośniku do rzeczywistej strony banku możliwe było zawarcie poleceń, dzięki którym w oryginalną stronę logowania “wstrzykiwany” był znacznik HTML IFRAME. W nim znajdowało się odniesienie do fałszywej strony logowania umieszczonej na serwerze na Tajwanie. Przez nią przestępcy wykradali dane wpisywane przez klientów banku, którzy dostali sfałszowany URL w wiadomości e-mail udającej komunikat wysłany przez bank do klientów. Ofiary łatwo dawały się oszukać, ponieważ oprócz fałszywej strony łudząco podobnej do oryginalnej, dodatkowo w pasku adresu przeglądarki internetowej widniał prawdziwy adres strony banku, całe połączenie odbywało się poprzez SSL, a widoczny certyfikat był prawdziwym certyfikatem banku.

Sfałszowany odnośnik nie wyglądał na podejrzany, ponieważ odwoływał się, by przekazać spreparowane dane składające się głównie z cyfr i przecinków, bezpośrednio do skryptu JS znajdującego się na serwerze banku.

Źródło: netcraft.com

Tags: e-banking, JavaScript, phishing, spam, SSL, URL injection, wyłudzenie, XSS

Wpis utworzony 18 stycznia 2008 o 14:13 i umieszczony w kategorii Posty. Możesz śledzić wszystkie odpowiedzi korzystając z RSS 2.0