Mozilla Firefox 2 si Microsoft Internet Explorer 7 sunt vulnerabile din cauza optiunii de auto-completare a parolelor si a numelor de utilizator la accesarea anumitor locatii. Daca formularul de logare in care se completeaza datele este fals, informatiile sunt transmise apoi atacatorilor fara stirea utilizatorului.

In cursul ultimului incident de acest tip, atacatorii au folosit pagina principala MySpace pentru a construi o copie identica. Utilizatorii erau convinsi ca introduceau datele pentru a accesa MySpace, dar numele de utilizator si parolele folosite erau transmise unor hackeri, care le inregistrau apoi pe servere web compromise. Specialistii estimeaza ca peste 100.000 de nume de utilizatori si parole au fost sustrase inainte ca atacul phishing sa fie detectat.

In cazul MySpace, aceste pagini de logare erau stocate pe un server legitim al companiei, si nu afisau semnele distinctive ale unei redirectari sau ale unui atac cross site scripting (atacuri lansate prin inserarea de continut nociv in paginile web). Astfel chiar si utilizatorii constienti de importanta masurilor de securitate ar fi fost indusi in eroare.

Citeste si:

Atacul folosea o pagina HTML special conceputa pentru a inlocui continutul site-ului MySpace cu o pagina de logare falsa. Un astfel de atac are sanse mari de reusita dat fiind ca nici Internet Explorer si nici Mozilla Firefox nu verifica destinatia datelor pe care le completeaza in paginile HTML ce folosesc forms (cod HTML - da posibilitatea completarii si transmiterii de date ce contin siruri de caractere, bifarea unor casete etc.), iar browserele nu avertizeaza in nici un fel utilizatorul pentru ca serverul folosit pentru furtul de date este legitim - blog-uri sau grupuri de dialog unde utilizatorii pot introduce sau modifica propriul continut.

Atacatorii au folosit cinci puncte de colectare a parolelor, dar nu au reusit sa le faca publice. Acestea au fost in schimb analizate de specialisti, care au ajuns la concluzii interesante. Un mare numar de nume de utilizatori/parole contineau numele sau adresele e-mail ale unor companii sau ale unor furnizori recunoscuti de software sau componente hardware. Desi nu a fost verificata validitatea datelor pentru conturile de utilizator la companiile respective, probabil ca multe sunt corecte, motiv pentru care angajatii ar trebui instruiti sa nu isi foloseasca parolele/numele de utilizator desemnate in cadrul companiei pentru inscrierea pe site-uri web comerciale.