Фишинг и маркетинг - стр. 10
Хуже всего то, что злоумышленник-фишер может иметь шанс управления (и контроля) учетной записью пользователя. Даже если потенциальная жертва не примет решение об авторизации приложения, она все равно будет перенаправлена на веб-сайт, контролируемый злоумышленником-фишером. Это может поставить потенциальную жертву под реальную угрозу.
Рассматриваемая уязвимость была обнаружена доктором математики Ван Цзином (в прошлом являвшимся студентом школы физико-математических наук в технологическом университете Наньян в Сингапуре).
Скрытое перенаправление является заметной угрозой безопасности, оно заслуживает значительного внимания.
2.4 Подделка сайтов. Голосовой фишинг
Подделка сайтов
Некоторые фишинговые мошенники используют команды JavaScript, чтобы изменить адресную строку сайта, к которому они ведут. Это можно сделать, поместив изображение допустимого URL-адреса поверх адресной строки, или закрыв исходную панель и открыв новую с допустимым URL-адресом.
Злоумышленник также потенциально может использовать против жертвы недостатки в собственных сценариях доверенного сайта. Эти типы атак (известные как межсайтовый скриптинг) особенно проблематичны, поскольку они направляют пользователя на вход в систему на собственной веб-странице банка или службы, где все, начиная с веб-адреса и заканчивая сертификатами безопасности, выглядит корректно. На самом деле, ссылка на сайт создана для проведения атаки, что делает ее очень трудно обнаруживаемой без специальных знаний. Такой недостаток был использован в 2006 году против PayPal.
Чтобы избежать методов фишинга, предусматривающих сканирование веб-сайтов на предмет текста, связанного с фишингом, фишеры иногда используют веб-сайты, созданные на основе Flash. Они очень похожи на настоящие веб-сайты, но скрывают в мультимедийном объекте текст.
Голосовой фишинг
Не все фишинговые атаки требуют наличия фейкового веб-сайта. Сообщения, которые, как утверждают злоумышленники, – из банка. В них пользователям сообщается, чтобы они набирали телефонный номер по поводу наличия проблем с их банковскими счетами.
После набора пользователем телефонного номера (принадлежащего фишеру и предоставленного службой голосовой связи по IP) пользователю предлагается обеспечить введение номера своей учетной записи и PIN-кода.
Voice phishing (то есть голосовой фишинг) иногда предусматривает использование фальшивых данных об идентификаторе вызывающего абонента, чтобы создать впечатление, что звонки поступают из доверенной организации.
2.5 Tabnabbing. Другие методы
При использовании метода Tabnabbing («вкладка вкладок») используются преимущества просмотра вкладок с рядом открытых вкладок. При этом методе предусматривается автоматическое перенаправление пользователя на мошеннический сайт. Метод работает противоположно большинству методов фишинга, поскольку пользователь при его использовании не ведется непосредственно на мошеннический сайт, а загружается поддельная страница в одну из открытых вкладок браузера.