Nieuwe cross-site phishingtechniek

   

Een Britse ontwerper van websites heeft een nieuwe manier om cross-site scripting (XSS) phishing klaar te spelen. Phishing is volgens Webopedia een manier om een gebruiker naar een website te lokken die er uit ziet als bijvoorbeeld Ebay of Amazon. Deze nepsite vraagt de gebruiker om een aantal persoonlijke gegevens, waaronder creditcard-gegevens, in te vullen, waardoor de makers achter de website de gegevens kunnen misbruiken om bijvoorbeeld internetaankopen te doen. XSS phishing gaat echter een stuk verder. Bij deze methode is het niet meer nodig om op een link in een e-mail te klikken, want XSS maakt het mogelijk om scripts van een andere site uit te voeren op bijvoorbeeld de website van MasterCard.

Een en ander wordt gedemonstreerd op de website van de ontdekker: ZapTheDingbat. Als hier op de link naar MasterCard wordt geklikt, dan wordt niet het script van MasterCard uitgevoerd om een geldautomaat te vinden, maar een script dat afkomstig is van ZapTheDingbat. De gebruiker denkt echter dat het script afkomstig is van MasterCard. De techniek werkt zowel in Internet Explorer onder Windows XP met Service Pack 2 (release candidate) ge?nstalleerd als Mozilla Firefox 0.9.1. Een website kan volgens de maker gemakkelijk worden beveiligd tegen cross-site scripting, maar bij een hoop sites, waaronder Natwest, Barcleycard en WorldPay, is dit niet het geval.

Bron: Tweakers.net

 

WOW jammer genoeg werken de demo's niet meer dus kan ik niet zien wat hij er mee bedoeld... Wel beangstigend als die bij zulke grote site gebeurt... Ik ben trouwens wel benieuwd of dat truukje ook bij ons zou werken, of dat we de boel op slot hebben zittenn.....