Ведущий разработчик браузера Firefox и веб-дизайнер Аза Раскин предупредил о
новом коварном способе проведения фишинговых атак. По его словам, этот метод
эксплуатирует тот факт, что большинство пользователей открывают сразу по
несколько вкладок и не следят за тем, какие сайты они посетили.
В этом случае киберпреступники с помощью JavaScript могут изменить целевую
страницу во вкладке при ее неактивности на протяжении нескольких секунд.
Добиться этого можно внедрением вредоносного кода в законопослушный сайт.
Если у пользователя открыта всего одна вкладка, он наверняка с подозрением
отнесется к тому, что его перенаправили на страницу Gmail или другой целевой
ресурс вместо новостного сайта. Однако, бдительность многократно ослабевает при
большом количестве открытых вкладок, поэтому запрос на повторную авторизацию
может не вызвать подозрений и данные будут скомпрометированы.
Раскин предупреждает, что в ходе нападения хакеры могут воспользоваться
файлом истории браузера, чтобы скорректировать атаку. Например, если человек
является пользователем сайта Facebook, Citibank или Twitter, ему может быть
предъявлена соответствующая подставная страница авторизации.
Подробности о новом методе нападения Раскин разместил
на своем блоге (если ты не отключил JavaScript, кликни по ссылке, перейди на
другую вкладку и посмотри, что произойдет через несколько секунд), а также на
видеохостинге Vimeo. По его словам, решением проблемы может стать улучшение
средств управления паролями.