Kimlik, Ehliyet ve Bankaya Tek Kart Olacak
Güvenlik tarayıcı Trusteer'deki araştırmacılara göre, tüm büyük tarayıcılarda bulunan bir hata, suçluların çevrimiçi oturum kimlik bilgilerini "oturum içi kimlik avı" adı verilen yeni bir saldırı türü kullanarak çalmasını kolaylaştırabilir.
Oturum içi kimlik avı (pdf) kötü adamlara şu günlerde en büyük sorun olan avcılara bir çözüm sunuyor: yeni kurbanlara nasıl ulaşılacağı. Geleneksel bir kimlik avı saldırısında, dolandırıcılar, bankalar ya da çevrimiçi ödeme şirketleri gibi meşru şirketler gibi görünmek için gizlenmiş milyonlarca e-posta mesajı gönderirler.
Bu mesajlar genellikle spam filtreleme yazılımı tarafından engellenir. oturumda kimlik avı ile, e-posta iletisi, bir açılır pencere ile değiştirilen denklemin dışına alınır.
[Daha fazla okuma: Windows bilgisayarınızdan kötü amaçlı yazılım nasıl kaldırılır]İşte bir saldırı nasıl işe yarar: Kötü adamlar meşru bir Web sitesini kesecek ve pop-up güvenlik uyarı penceresine benzeyen bitki HTML kodunu üretecekti. Pop-up daha sonra kurbanın parola ve giriş bilgilerini girmesini isteyecek ve muhtemelen müşterilerin kimliklerini doğrulamak için bankaların kullandıkları diğer güvenlik sorularına cevap verebileceklerdir.
Saldırganlar için, zor kısım kurbanları ikna edecek -up bildirimi meşrudur. Ancak, en yaygın kullanılan tarayıcıların JavaScript motorlarında bulunan bir hata sayesinde, bu tür saldırıların daha inandırıcı görünmesini sağlamanın bir yolu var, Trusteer'in baş teknoloji sorumlusu Amit Klein dedi.
Tarayıcıların yolunu inceleyerek JavaScript'i kullan, Klein, belirli bir JavaScript işlevi kullanması koşuluyla, birinin bir Web sitesine giriş yapıp yapmadığını belirleme yolunu bulduğunu söyledi. Klein, suçluları saldırıyı başlatmanın bir yolunu vereceği için bu işlevin ismini vermezdi, ancak tarayıcı yapımcılarını haberdar etti ve eninde sonunda hataların çözülmesini beklediğini umuyor.
O zamana kadar, kusurları keşfeden suçlular, bu çekleri yazabilirdi Web sörfçülerinin, örneğin 100 bankacılık şirketinin önceden belirlenmiş bir listesine girip girmedikleri. "Bu rastgele kimlik avı mesajını ortaya çıkarmak yerine, bir saldırgan, kullanıcının şu anda 100 finans kurumu Web sitesinden birinde oturum açıp açmadığını araştırıp daha karmaşık bir hale gelebilir." Dedi.
"Sizin gerçeğiniz" şu anda oturumda bulunan kimlik avı, phishing mesajına çok fazla güvenilirlik katıyor, "diye ekledi.
Güvenlik araştırmacıları, mağdurun belirli bir siteye girip girmediğini belirlemek için başka yollar geliştirdiler, ancak her zaman güvenilir değiller. Klein, tekniğinin her zaman işe yaramadığını, bankalar, çevrimiçi perakendeciler, oyun ve sosyal paylaşım siteleri gibi birçok sitede kullanılabileceğini söyledi.
Numaralı yolda iPhone'unuz üzerinde sözleşme imzalanmamıştır. AT & T, müşterilerin iPhone üzerinden bir sözleşme yapmadan satın almalarına izin verebilir.
AT & T Mobility, Salı günü iPhone 3G fiyatlandırmasına bazı yıldız işaretleri koydu, ancak gelecekte ilginç bir seçenek ortaya çıkardı: bir sözleşmesiz iPhone.
IIS 6 Saldırısı Hackerların Sunucularda Snoop Bırakmasına İzin Verebilir
Araştırmacılar, IIS 6'daki bir hatalı hatanın saldırganların dosyaları sunucuya göstermesine veya karşıya yüklemesine izin verebilir
ÜZerinde güçlendiriyor. Chrome güncellemesi, Google Chrome'un sürüm 25'ten başlayarak> 9'dan başlayarak, diğer uygulamalar tarafından çevrimdışı olarak yüklenen tarayıcı uzantıları kullanıcılar tarafından verilene kadar etkinleştirilmeyecek. tarayıcı arayüzünde bir iletişim kutusu aracılığıyla izin ver.
Google Chrome'un 25 numaralı sürümünden itibaren, tarayıcılar, tarayıcı arayüzünde bir iletişim kutusu aracılığıyla izin verene kadar diğer uygulamalar tarafından çevrimdışı olarak yüklenen tarayıcı uzantıları etkinleştirilmeyecek.