Parece que há uma técnica de ataque de phishing. Uma técnica tão original que não resisti a partilhar convosco para vos alertar.
A maioria dos ataques de phishing levam-nos para sites falsos, em tudo idênticos a sites bem conhecidos (Gmail, bancos online, etc.) com o objectivo de nos tentarem apanhar os nossos dados de login.
É por isso mesmo que este tipo de serviços recomenda que sejamos nós a introduzir manualmente o endereço do site a aceder, para evitar que estejamos num destes sites falsos indistinguíveis dos originais.
(nalguns browsers, estes sites podem até manipular o URL de forma a parecer que estamos no site certo - mas não se deixem enganar.)
No entanto, esta nova técnica é bem mais camuflada.
Sabendo que os utilizadores estão mais atentos nos momentos iniciais em que visitam um site (afinal, se fossem a um site chamado xpto.com e vos aparecesse uma página a dizer que era o Gmail, imediatamente desconfiariam) este sites mostram um conteúdo aparentemente normal... mas com um twist.
Assim que abandonam essa página e visitam outra tab (hoje em dia, a grande maioria dos utilizadores mantém dezenas de tabs abertas) o site malicioso altera o seu aspecto, incluindo o título e até o icon, para o de um site "atacado".
O utilizador passa assim a ver uma tab já aberta, com um Gmail, ou um qualquer outro site a pedir o seu login, e fica muito mais vulnerável a introduzir os seus dados, pois já passou o período de suspeição inicial e pode pensar que simplesmente se esqueceu daquela tab aberta.
Este tipo de ataque pode ir ainda mais longe, ao pesquisar o históricos dos sites que visitam e utilizam, e adaptando-se em função da vossa actividade: poderia imitar um site que vocês utilizam regularmente, ou no caso de estarem com uma sessão activa; simular as mensagens de "sessão expirada, introduza novamente os seus dados."
Daí que todo o cuidado seja pouco:
- mantenham o vosso sistema protegido contra malware/spyware
- introduzam sempre manualmente o endereço dos sites "críticos" como o vosso webmail e bancos online
- utilizem um browser menos vulnerável
- utilizem o modo "privado" dos browsers para efectuarem as operações bancárias sem deixarem registo no vosso computador.
A New Type of Phishing Attack from Aza Raskin on Vimeo.
Eh la, bem original esta técnica
ResponderEliminar