Μια νέα επίθεση καταφέρνει να παρακάμπτει τα συστήματα ασφαλείας των τραπεζικών sites

Μια νέα επίθεση τύπου “man in the browser” καταφέρνει να παρακάμπτει τα συστήματα ασφαλείας των τραπεζικών sites, θέτωντας σε κίνδυνο τα χρήματα μας. Και είναι πιο αποτελεσματική ακόμη και απέναντι σε σχετικά “ψαγμένους” χρήστες.

Το “man in the browser” αφορά στο εξής: σε κάθε συναλλαγή συνήθως υπάρχουν δυο πλευρές. Ο ένας μπορεί, π.χ., να “δίνει” και ο άλλος να<…>

“παίρνει” – κάτι σαν τη διαφήμιση με τα hot dogs και τον “ομορφάντρα”. Όταν ανάμεσα στις δυο πλευρές μπαίνει μια τρίτη, μπορεί να ακολουθήσει… το χάος. Οι επιθέσεις “man in the browser”, λοιπόν, είναι αυτές στις οποίες κάποιος “χώνεται” ανάμεσα στις δυο πλευρές, στον browser τους ή τις μιας εξ’ αυτών, τις περισσότερες φορές χωρίς να μπορεί καμία από τις δυο να το καταλάβει. Και αυτό ακριβώς κάνει ο νέος τρόπος επίθεσης.

Κακόβουλος κώδικας καταφέρνει να “χωθεί” στον browser του χρήστη, μα παραμένει ανενεργός. Φαινομενικά, δεν υπάρχει καμία διαφορά σε σχέση με το πριν. Όταν, όμως, ο χρήστης επισκεφτεί ένα τραπεζικό site, ο κώδικας ενεργοποιείται και προσθέτει κάποια πεδία στο site, που φαίνονται σαν να αποτελούν πραγματικά τμήματα του. Ένα από αυτά μπορεί, για παράδειγμα, να του ζητά να επανεισάγει τα στοιχεία πρόσβασης του “για λόγους πιστοποίησης”. Αφού τα πάντα φαίνονται “σωστά”, το site είναι όντωςαυτό της τράπεζας (και όχι κάποια απομίμηση), δεν είναι και δύσκολο να… “τσιμπήσει” κανείς.

Μετά από αυτό, μάλλον οι τράπεζες θα πρέπει να σκεφτούν κάποιον νέο, εναλλακτικό τρόπο για να αυξήσουν την ασφάλεια κατά τις συναλλαγές των χρηστών μέσω των sites τους. Ίσως αν έβγαζαν τον… δικό τους browser;

Πηγή:secnews.gr