Mit fecseg ki a böngészőnk az adathalászoknak?

Egyre nehezebb dolga van újabban az adathalászoknak: nem ritkán nagy műgonddal elkészített becsapós leveleik ma már jó eséllyel fennakadnak a szolgáltatók vagy a felhasználók okos spamszűrőin, vagy a levelezőkliensek buktatják le őket, és figyelmeztetik a postafiók-tulajdonost az átverés veszélyére. Márpedig a jelszavak, internetes bankoláshoz használt azonosítók ellopásának fontos eleme, hogy a potenciális áldozatokat valahogyan rá kell venni az adatok begyűjtését végző hamis – jellemzően egy népszerű pénzintézet, internetes bolt stb. weboldalát külsőségeiben imitáló – szájt felkeresésére. Amint erre nemrég egy IT-biztonsági cég figyelmeztetett, van ennek más módja is, mint a becsapós oldalra mutató linket tartalmazó e-mail.

A Trusteer szakértői december végén egy újfajta adathalász támadásra, az ún. in-session phishing-re hívták fel a figyelmet. Az efféle attak – ahogy a nevéből sejteni lehet – akkor hajtható végre, ha a felhasználó nem jelentkezik ki egy internetes banki oldalról vagy más, hitelesítést igénylő webes szolgáltatásból, és annak ablakát nyitva hagyva böngészni kezd az interneten. Ilyenkor aztán egy idő után egy pop-up jelenik meg, amely – például arra hivatkozva, hogy lejárt a bejelentkezésre szabott idő – a nemrég megadott azonosítók ismételt begépelését kéri. Ez már az átverés, a felhasználó gyanúját azonban elaltathatja, hogy néhány perccel korábban valóban használta az oldalt.

Lyuk a böngészőkben

A támadás kivitelezéséhez két dolog kell: egyrészt sokak által látogatott, megbízhatónak tartott weboldalakat – például híroldalakat – kell feltörni, és azokra egy programot beszúrni. Ez a kód nem változtatja meg a szájt működését vagy külalakját, és semmit sem tölt le a felhasználó gépére, ezért nem könnyű detektálni. Mindössze annyit csinál, hogy ellenőrzi: a user be van-e jelentkezve valamilyen ismert bank stb. oldalára, és ha igen, egy ahhoz szabott felugró ablakot jelenít meg, amelyben bekéri az éppen releváns adatokat.

Népszerű weboldalakra rosszindulatú kódot elhelyezni ma már nem sci-fi, keményebb dió viszont a második lépcső: kideríteni, hogy be van-e jelentkezve a felhasználó. A Trusteer szakértői most egy olyan sebezhetőséget találtak az elterjedtebb böngészők – az Internet Explorer, a Firefox, a Safari és a Chrome – JavaScript-motorjában, amellyel ez is megoldható. Ha egy oldal meghív egy bizonyos JavaScript-függvényt – hogy melyikről van szó, értelemszerűen nem hozták nyilvánosságra –, követhetővé válik, hogy a felhasználó be van-e jelentkezve az adott oldalra. Ehhez a fent említett rosszindulatú programnak csak a megfelelő kérdést kell feltenni a böngészőnek egy előre elkészített címlista alapján.

Egyelőre csak elmélet

„Ahelyett, hogy egy véletlenszerűen feldobott adathalász ablak jelenne meg, a támadó le tudja kérdezni és ki tudja deríteni, hogy a felhasználó be van-e jelentkezve mondjuk 100 előre meghatározott pénzintézet valamelyikének oldalára. Ha igen, az hitelességet kölcsönöz a pop-upban megjelenő becsapós üzenetnek” – magyarázta a PC World-nek Amit Klein, a cég műszaki vezetője, hozzátéve, hogy a böngészők fejlesztőit már tájékoztatták a hibáról, remélve, hogy azt mielőbb kijavítják.

Szakértők már korábban is leírtak olyan módszereket, amelyekkel kideríthető, hogy a felhasználó bejelentkezve maradt-e egy oldalon, de egyik sem működik olyan megbízhatóan, mint ez – állítja Klein. Az eljárás egyébként – teszi hozzá – nem minden esetben használható, de a legtöbb banki vagy közösségi oldalon, internetes boltban igen.

A gyakorlatban ilyen adathalász támadással még nem találkoztak az IT-biztonsági cégek. Tény: a sikeres attakhoz több feltételnek kell teljesülnie. Egyrészt a felhasználónak nyitva kell hagynia egy olyan banki stb. oldalt, amelyre bejelentkezett, másrészt egy olyan szájtra kell ellátogatnia, amelyre a bűnözők elhelyezték az adathalász kódot. Mindenesetre a szakemberek azt tanácsolják: ha tehetjük, mindig jelentkezzünk ki, miután használtunk egy azonosításhoz kötött internetes szolgáltatást.