Nettfylling av nettfisking ved hjelp av skjulte felt - Vær forsiktig og vær trygg

2018-09-30 10:52:26
Hoved~~Pos=Trunc·Annen·Nettfylling av nettfisking ved hjelp av skjulte felt - Vær forsiktig og vær trygg

Hvis du har brukt nettleserens autofyll på hvert nettsted du besøker, er her noen viktige nyheter for deg. Det har blitt funnet at nettlesere som Chrome, Safari eller andre som støtter flerformat autofyll kan lure til å gi bort informasjonen din, til og med kredittkortnumrene, deres utløpsdatoer og CVV-kodene til nettsteder.

Hvordan phishen fungerer?

Et phishing-nettsted kan ha synlige skjemafelt eller tekstbokser for å samle grunnleggende informasjon, for eksempel brukernavn og e-postadresse. I tillegg vil nettstedet ha andre skjemafelt som er konfigurert for å forbli skjult på websiden, ved å bruke negative marginer eller muligens andre CSS-metoder. Når du bruker automatisk utfylling for å fylle ut de synlige skjemafeltene, får de skjulte skjemafeltene også sine respektive data.

Den finske web-dev og hacker Viljami Kuosmanen har oppdaget denne sårbarheten. Han har også satt opp et demoside der du kan se hvordan phish fungerer. Besøk GitHub-prosjektsiden hans for mer informasjon.

Hvis du ser på demosideens kildekode, kan du se at de ekstra skjemafeltene finnes på websiden, men de vises ikke på skjermen. Når du fyller ut den uskyldige "Navn" -boksen ved å fylle ut automatisk, fylles de andre feltene automatisk ut. Etter at du har klikket på Send, legges hele informasjonen ut på nettstedet.

Eksempel: feltet cc_number har en negativ venstre margin (-500 piksler) slik at det ikke vises på siden

Firefox er ikke sårbar fordi den ikke støtter autofylling i flere former. I Firefox må du velge hvert felt og skrive inn startbokstaven, eller dobbeltklikke på feltet, eller trykk på pil ned og klikk på et av elementene i rullegardinmenyen. Data fylles ikke automatisk i de skjulte tekstboksene.

Man kan forvente en løsning fra Google Chrome-teamet da den enkle, men effektive phishing-metoden ble brakt i rampelyset. Inntil da kan du slå av automatisk utfylling i nettleseren, eller i det minste ikke bruke automatisk utfylling på nettsteder som du ikke helt stoler på.

Slå av automatisk utfylling i Chrome

I Chrome, åpne Innstillinger, klikk på Vis avanserte innstillinger.

Fjern merket for "Aktiver autofyll for å fylle ut webskjemaer med et enkelt klikk" under "Passord og skjemaer."

Slå av autofyll i Opera

I Opera er autofyllinnstillingen tilgjengelig under Innstillinger> Personvern og sikkerhet> "Autofyll". Fjern merket for "Aktiver automatisk utfylling av skjemaer på websider."

via Lifehacker.

Oppdatering: Fant bare ut at Yoast har skrevet om dette sikkerhetsproblemet i 2013. Sjekk ut hvorfor du ikke skal bruke autofullføring • Yoast

Redaksjonens