<!> Bug em browsers permite ataque de phishing via pop-up, sem uso de e-mail

São Francisco - Novo golpe "in-session phishing" usa falha de JavaScrip na maioria dos browsers para plantar pop-up falso que pede senhas.

Pesquisadores da empresa de softwares de segurança Trusteer descobriram um bug presete na maioria dos browsers, que pode facilitar o furto de informações bancárias online usando um novo tipo de ataque chamado "in-session phishing".

O novo phishing interno (arquivo em pdf) pode facilitar o trabalho dos criminosos em encontrar novas vítimas, já que substitui o uso do e-mail falso por uma janela pop-up no navegador.

Por meio deste novo tipo de golpe, o criminoso pode hackear um site legítimo e plantar um código html que se parece com um alerta de segurança via pop-up. A janela pode pedir que a vítima digite login e senha ou até outros dados geralmente solicitados em operações de internet banking.

O problma seria convencer a vítima de que a janela pop-up é verdadeira. No entando, devido a uma falha no engine de JavaScript da maioria dos browsers mais populares, o pop-up pode parecer confiável, alerta Amit Klein, Chief Technology Officer (CTO) da Trusteer.

Criminosos que descrobrirem como usar o bug podem criar códigos que checam se o internauita está logado, por exemplo, em uma lista pré-determinada de 100 sites de bancos, comércio eletrônico, jogos ou redes sociais.

Fonte: [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]