Geplaatst webwereld schreef:De door Secunia ontdekte methode maakt het mogelijk dat content van de ene website wordt ingeladen in het venster van een andere website. Hiervoor is alleen de doelnaam van het venster nodig, zo schrijft Secunia in zijn 'advisory'.
Kwaadwillenden zouden dit kunnen misbruiken door internetters door te sluizen naar een vertrouwde site (zoals van een bank) en vervolgens de inhoud van popups te veranderen. Zodoende zouden phishers privé-informatie kunnen verzamelen.
Via de volgende link kun je zien hoe dit in zijn werk gaat.
http://secunia.com/multiple_browsers_wi ... lity_test/
Klik vervolgens bij stap 2 op de eerste link. Nu word je doorgestuurd naar de officiële site van Citibank.
Klik op deze site op:
En zie wat er gebeurt.
Dit betekent dus ook dat kwaadwillenden een exacte kopie van de zogenaamde pop-up kunnen maken, die de rekeninggegevens en wachtwoorden niet naar citibank toestuurt, maar naar hun eigen database met alle gevolgen van dien!
- Voorbeeld:
Internetsite 1 (staat geminimaliseerd in je menubalk) heeft een script waarin staat:
Als er een pop-up opent met de naam “hallo”, plaats dan de volgende url in deze pop-up
Internetsite 2 (van de bank) werkt met een pop-up om in te loggen in het beveiligde gedeelte. Deze pop-up heet: “hallo”.
Men klikt op de link van de bank, pop-up “hallo” opent zich. Het script van internetsite 1 ziet dat de betreffende pop-up opent en gaat zijn script uitvoeren. De pop-up van de bank is nu de pop-up van internetsite 1 geworden (die natuurlijk niet van echt te onderscheiden is…
.Men denkt nog steeds op de officiele site te zijn van de bank en geeft vrolijk zijn bankgegevens prijs...)
Kortom, wanneer je gaat internetbankieren:
Zorg dat geen enkele internetpagina open staat behalve de pagina van de bank. Zo verkom je een hoop ellende...
Ps. Als mijn verhaal onduidelijk is, hier het origineel: http://www.webwereld.nl/nieuws/20248.phtml
