Pojawi�a si� nowa forma phishingu wykorzystuj�ca wra�liwo�� funkcji JavaScript. Atak ten, wykryty przez specjalist�w Trusteer, jest szczeg�lnie niebezpieczny, ze wzgl�du na fakt u�ywania JavyScript na stronach internetowych wielu bank�w, przedsi�biorstw finansowych i wielu innych aplikacji sieciowych. Okazuje si�, �e maj�c otwarte dwie karty w przegl�darce, mo�na rozpozna� z jednej karty, na jakiej innej stronie, w drugiej karcie u�ytkownik jest aktualnie zalogowany.
Scenariusz ataku jest tutaj nast�puj�cy. Je�eli u�ytkownik zalogowa� si� na bezpiecznej stronie, ale w drugiej karcie ma otwart� zaka�on� stron�, mo�e pojawi� si� spreparowane okno pop-up podobne do okna logowania na bezpiecznej stronie. Ponowne wprowadzenie danych logowania ujawnia je atakuj�cemu. Taki spos�b ataku, jest niezwykle ci�ki do wykrycia nawet dla zaawansowanych u�ytkownik�w, co czyni atak szczeg�lnie niebezpiecznym.
Nale�y zwr�ci� uwag�, �e atakuj�cy musi zarazi� wiele popularnych witryn tak, aby prawdopodobie�stwo pozostawienia otwartej karty, by�o du�e. Atakuj�cy musi mie� tak�e mo�liwo�� okre�lenia czy u�ytkownik jest zalogowany na wybranej witrynie.
Aby si� zabezpieczy�, wystarczy nie reagowa� na nowe okna logowania i nie korzysta� z kart podczas sesji na stronach zaufanych. Wprawdzie atak jest ma�o realny, ale ponownie pokazuje to, �e nale�y by� szczeg�lnie wra�liwym na nietypowe zachowania potencjalnie bezpiecznych stron.

�r�d�o: www.anti-malware.ru