Фішинг під час сеансу

Фішинг під час сеансу – це форма потенційної фішингової атаки, яка базується на тому, що один сеанс вебперегляду^[en] може виявити наявність іншого сеансу^[en] (наприклад, відвідування вебсайту онлайн-банкінгу) у тому самому веббраузері, а потім запустити спливаюче вікно, яке видається відкритим із цільового сеансу. Це спливаюче вікно, яке користувач тепер вважає частиною цільового сеансу, потім використовується для крадіжки даних користувача так само, як і під час інших фішингових атак.

Перевага фішингу під час сесії для зловмисника полягає в тому, що він не потребує якої-небудь вразливості у цільовому вебсайті, покладаючись замість цього на комбінацію витоку даних у веббраузері, здатність веббраузерів запускати активний вміст та підтримувати більше одного сеансу одночасно та соціальну інженерію користувача.

Метод, який використовував уразливість у опрацюванні Javascript основними браузерами, був знайдений Амітом Кляйном, технічним директором постачальника безпеки Trusteer, Ltd. ^[1] ^[2] Подальші оновлення безпеки браузерів, ймовірно, зробили цей метод неможливим.

Примітки[ред. | ред. код]

↑ Kaplan, Dan (14 січня 2009). New phishing ploy exploits secure sessions to hijack data. Архів оригіналу за 9 вересня 2018. Процитовано 9 вересня 2018.
↑ Archived copy (PDF). Архів оригіналу (PDF) за 22 січня 2009. Процитовано 20 січня 2009.{{cite web}}: Обслуговування CS1: Сторінки з текстом «archived copy» як значення параметру title (посилання)

[1] Kaplan, Dan (14 січня 2009). New phishing ploy exploits secure sessions to hijack data. Архів оригіналу за 9 вересня 2018. Процитовано 9 вересня 2018.

[2] Archived copy (PDF). Архів оригіналу (PDF) за 22 січня 2009. Процитовано 20 січня 2009.{{cite web}}: Обслуговування CS1: Сторінки з текстом «archived copy» як значення параметру title (посилання)

[1]

[2]

Фішинг під час сеансу

Примітки[ред. | ред. код]

Навігаційне меню

Пошук