Udbredt browserfejl åbner for phishing uden e-mails

En fejl i alle de større browsere kan gøre det lettere for kriminelle at stjæle netbanksoplysninger ved hjælp af en ny type angreb kaldet 'in-session phishing'.

Artikel top billede

(Foto: Steve Woods)

Computerworld News Service: Ifølge analytikere hos sikkerhedsleverandøren Trusteer giver 'in-session phishing' fiskerne en løsning på deres største problem: Hvordan de får fat i nye ofre.

I et traditionelt phishing-angreb, sender svindlere millioner af falske e-mails ud, der skal se ud som om, de kommer fra legitime virksomheder såsom banker eller internetbetalingsvirksomheder.

Disse e-mails bliver ofte blokeret af spamfiltre, men med in-session phishing er disse e-mails slet ikke en del af regnestykket, da de er skiftet ud med et pop-up-vindue direkte i browseren.

Det virker sådan her: Forbrydere hacker et legitimt website og planter html-kode, der laver et pop-up-vindue, der ligner en legitim sikkerhedsadvarsel. Dette pop-up-vindue beder brugeren om at indtaste brugernavn og kodeord og muligvis svare på andre sikkerhedsspørgsmål, som banker og lignende bruger til at bekræfte deres kunders identitet.

Kriminelle kigger over skulderen

Den svære del for angriberne vil være at overbevise ofrene om, at dette pop-up-vindue er legitimt. Men takket være en Java script-fejl i alle de mest brugte browsere er der en måde til at få denne slags angreb til at virke mere troværdige, mener Amit Klein, som er Trusteers teknologichef.

Ved at studere måden hvorpå browsere bruger JavaScript, siger Amit Klein, at han har fundet en måde at klarlægge, om nogen er logget ind på et website, forudsat at de bruger en bestemt JavaScript-funktion.

Amit Klein vil ikke offentliggøre hvilken funktion, der er tale om, da det ville gøre det muligt for kriminelle at udføre angrebet, men han har gjort browserproducenterne opmærksomme på problemet og forventer, at sårbarheden på et eller andet tidspunkt vil blive lukket med sikkerhedsopdateringer.

Indtil da kan kriminelle, der opdager fejlen, skrive kode, der kontrollerer, om internetbrugere er logget ind et sted baseret på en forudbestemt liste af eksempelvis bankers websites.

"I stedet for bare at poppe op med en tilfældig phishing-meddelelse, så kan angribere nu blive mere sofistikerede ved at undersøge og finde ud af, om en bruger aktuelt er logget ind på en af 100 finansinstitutioners websites," forklarer han.

"Det, at man på det aktuelle tidspunkt faktisk er logget ind, giver stor troværdighed til phishing-meddelelsen," tilføjer han.

Sikkerhedsanalytikere har udviklet andre metoder til at bestemme om et offer er logget ind på et bestemt site, men de er ikke altid pålidelige. Ifølge Klein virker hans teknik heller ikke altid, men kan derimod bruges på mange forskellige sites blandt andre banker, internetbutikker, spil- og sociale netværk.

Oversat af Thomas Bøndergaard

Læses lige nu

    Quadsat ApS

    Robotics Engineer

    Fyn

    TD SYNNEX Denmark ApS

    Networking Presales Specialist

    Københavnsområdet

    TD SYNNEX Denmark ApS

    Networking Presales Specialist

    Københavnsområdet

    Navnenyt fra it-Danmark

    Netip A/S har pr. 1. april 2026 ansat Claus Berg som Account Manager ved netIP's kontor i Esbjerg. Han kommer fra en stilling som Client Manager hos itm8. Nyt job

    Claus Berg

    Netip A/S

    Immeo har pr. 16. marts 2026 ansat Honey Arora som Senior Manager. Han kommer fra en stilling som Data Product Owner hos Centrica Energy. Nyt job

    Honey Arora

    Immeo

    Pinksky ApS har pr. 1. maj 2026 ansat Dan Toft, 29 år,  som Rådgivende konsulent, Partner. Han skal især beskæftige sig med digitalisering med Microsoftplatformen. Han kommer fra en stilling som Microsoft 365 & SharePoint Specialist hos Evobis ApS. Han er uddannet datamatiker. Han har tidligere beskæftiget sig med Microsoft 365 og SharePoint udvikling. Nyt job

    Dan Toft

    Pinksky ApS