Lek in browsers maakt phishing 'kinderspel' ???

[mesmilde]

Lek in browsers maakt phishing 'kinderspel'

Donderdag, 9 december 2004 - Onderzoekers van Secunia hebben een lek ontdekt dat in vrijwel alle browsers voorkomt en phishing-aanvallen mogelijk maakt.

Het probleem komt voor in de meest recente versies van Internet Explorer, Mozilla, Mozilla Firefox, Opera, Safari en Konqueror. Ook eerdere versies kunnen gevoelig zijn voor het lek, aldus Secunia. Een oplossing is nog niet voor handen. Secunia adviseert internetters op te letten tijdens het surfen en niet blindelings op popups te klikken.

De door Secunia ontdekte methode maakt het mogelijk dat content van de ene website wordt ingeladen in het venster van een andere website. Hiervoor is alleen de doelnaam van het venster nodig, zo schrijft Secunia in zijn 'advisory'.

Kwaadwillenden zouden dit kunnen misbruiken door internetters door te sluizen naar een vertrouwde site (zoals van een bank) en vervolgens de inhoud van popups te veranderen. Zodoende zouden phishers privé-informatie kunnen verzamelen.

Secunia heeft een test online gezet waarbij het beveiligingsbedrijf zijn code injecteert in een popup van Citibank, één van de grootste banken ter wereld. Internetters die op een link op de website van de bank klikken, krijgen hierdoor een popup te zien die door Secunia is 'gemaakt'.

Naar eigen zeggen heeft Secunia 19 november Microsoft, Mozilla, Opera, Apple, KDE en CERT geïnformeerd over het bestaan van de zogenoemde 'Window Injection Vulnerability'. In dagen hierna heeft het bedrijf van in ieder geval twee fabrikanten een ontvangstbevestiging ontvangen.

bron: http://www.webwereld.nl/nav/nb?20248

Als ik adblock aan heb staan, heb ik dan ook een probleem?

Groet

Michiel E. Smilde

[Tjaard]

Dit is toch oud nieuws ?

Ik vind dit eigenlijk net zoiets als beweren dat Firefox onveilig is omdat je je ebayaccountgegevens in kunt vullen op een nepsite...

[ByteWarrior]

Als ik adblock aan heb staan, heb ik dan ook een probleem?

AdBlock heeft niets te maken met veiligheid, het houdt gewoon advertenties tegen.

Phising is het nabootsen van een bekende omgeving (zoals een formulier om je wachtwoord in te vullen) om zo achter persoonlijke gegevens te komen. Zo kan iemand bijvoorbeeld een website maken die 100% gelijk is aan die van een bekende bank om achter je wachtwoord/code te komen.

Het beste wat je hier kan tegen doen is zeer goed opletten als je surft of online bankiert. Als je met Firefox op een beveiligde website terechtkomt (zoals die van een bank of zo), dan wordt de adresbalk geel gekleurd en wordt er achteraan een slotje weergegeven. De verbinding is dan beveiligd.

Door op zo'n dingen te letten, ben je al een grote stap voor op misbruik...

[sc00zy]

Als je zeker wilt weten op welke site je je bevindt zou je de extensie SpoofStick kunnen proberen.

[Tjaard]

Ik mag dan paranoide zijn, maar een hele nieuwe toolbaar voor iets dat ook wel kleiner kan vind ik wat veel van het goeie

[vulture]

Sc00zy schreef:

Als je zeker wilt weten op welke site je je bevindt zou je de extensie SpoofStick kunnen proberen.

Zeer goed advies. Ik heb het al geinstalleerd en ga het zeker gebruiken tot Mozila het " Lek" heeft gedicht. En de tips van ByteWarrior moet je eigenlijk altijd in acht nemen. Wat je ook nog kan doen is HTML in je email ontvanget (TB of outlook enz. uitzetten. Zet hem op plain text. Via een in email ontvangen HTML formulier wordt er ook gevist.

En nog even over je popup blocker, ook als je deze aan heb staan ben je niet veilig voor fishing.

ucchan schreef:

Ik mag dan paranoide zijn, maar een hele nieuwe toolbaar voor iets dat ook wel kleiner kan vind ik wat veel van het goeie Rolling Eyes

Bij de options knop is de mogelijkheid om hem op small in te stellen dus dat valt wel mee.

Wat ik jammer vind is dat dit kritieke lek niet op de voorpagina van http://www.mozbrowser.nl/ is geplaatst met een waarschuwing en met tips om ongelukken te voorkomen. En natuurlijk wanneer Mozilla het lek gaat dichten. En ik heb even gekeken dit nieuws is gisteren minimaal 2 keer als nieuws aangemeld (ook door mij).
Doet natuurlijk niets van het feit af dat FF een uitstekend produkt is.

[nirwana]

Als je zeker wilt weten op welke site je je bevindt zou je de extensie SpoofStick kunnen proberen.

Maar helemaal waterdicht is die ook niet gebleken. Wordt die extensie nog actief onderhouden ?

[Tjaard]

(ik zou veel liever een discreet tekstbalkje hebben dat ik naast de menu's neer kan zetten, ben nogal gesteld op m'n ruimte )

Ik zie alleen nog steeds niet wat nu de rol van een "exploit" in de browser zou moeten zijn bij deze ongein, voor mijn gevoel is het nu zeuren over veiligheidsrisico's die je buiten de browser om loopt, maar dat kan aan mij liggen .

[Gert-Paul]

(ik zou veel liever een discreet tekstbalkje hebben dat ik naast de menu's neer kan zetten, ben nogal gesteld op m'n ruimte )

Ik zie alleen nog steeds niet wat nu de rol van een "exploit" in de browser zou moeten zijn bij deze ongein, voor mijn gevoel is het nu zeuren over veiligheidsrisico's die je buiten de browser om loopt, maar dat kan aan mij liggen .

Het gaat erom dat je op een bekende site een popup opent die door een aandere (kwaadaardige) site weer overgenomen kan worden. Je denkt dus makkelijker dat je veilig bent, terwijl het gewoon phising kan zijn.

Zoals Bytewarrior al zei: opletten is het belangrijkste, maar het is wel iets dat snel opgelost zou moeten worden imo.