Banche online tradite dai browser insicuri
Cliccando su un link del sito della vostra banca, compare una pagina che vi chiede nome utente e password. Le digitate, convinti di essere sicuri. Ma in realtà quella pagina non appartiene al sito della banca: è di un altro sito gestito da un criminale, al quale avete appena regalato la password che protegge i vostri conti correnti. Eppure il sito della banca non è stato violato.
Inorridite pure: è un problema che tocca praticamente tutti i browser in circolazione. Il sito Secunia.com ha pubblicato una pagina dimostrativa in cui mostra chiaramente gli effetti che ho descritto sopra, usando come bersaglio la Citibank (sostituibile con qualsiasi altra banca o altro sito di commercio elettronico).
Eseguire la dimostrazione è molto semplice.
* Andate alla pagina dimostrativa di Secunia.com.
* Se avete un browser che blocca i pop-up, cliccate sul primo link della pagina di Secunia.com, quello etichettato "Test Now - With Pop-up Blocker - Left Click On This Link"; se il vostro browser non blocca i pop-up, cliccate sul secondo link, etichettato "Test Now - Without Pop-up Blocker - Left Click On This Link". Entrambi portano davvero al sito di Citibank.
* Cliccate sul logo "Consumer Alert" nella finestra del sito Citibank.
* Se la dimostrazione ha successo, invece di far comparire il contenuto del sito Citibank, la cliccata fa comparire una finestra (innocua, in questo caso) del sito Secunia, al posto del quale poteva benissimo esserci una richiesta ostile di password da parte di un sito gestito da un criminale informatico.
Se volete ripetere la dimostrazione, ricaricate la pagina dimostrativa di Secunia.com.
Questo effetto estremamente pericoloso riguarda, a detta di Secunia, Internet Explorer, Mozilla, Firefox, Opera, Konqueror, Safari e Netscape, a prescindere dal sistema operativo sul quale girano.
In attesa che i produttori dei vari browser risolvano la falla, potreste disabilitare Javascript, ma questo renderebbe impossibile navigare in molti siti, oppure abituarvi a non visitare contemporaneamente siti fidati e siti non fidati e a non cliccare su link a siti fidati trovati in siti non fidati.
Sarebbe anche opportuno che i siti smettessero di usare Javascript per far comparire finestre pop-up e per molte altre funzioni che si possono benissimo implementare in modo molto meno insicuro in semplice HTML, ma i realizzatori di siti sono notoriamente più interessati all'estetica che alla sicurezza. E noi paghiamo.
Tratta da Zeusnews
- [26/05/11] URL-Shortening made in spammersland
- [10/11/10] Falla su Facebook: Sendible colpevole?
- [26/05/09] YouTube: 5.000 video portatori di malware
- [30/03/07] Trend Micro verifica l'affidabilità e la reputazione dei siti web
- [27/09/06] Link Optimizer: colpisce ancora
10 commenti a "Banche online tradite dai browser insicuri":
Per la mia esperienza di programmatore web e webmaster basterebbe avere
javascript e vbscript disabilitati per default nei vari browser, ed inserire due
pulsantini nella barra di navigazione che abilitino gli stessi a richiesta (cioè
a scelta del navigatore), il vecchio netscape 4.7 prevedeva una cosa simile, ma
bisognava entrare dentro la configurazione ed era molto scomodo, poi con Mozilla
quell'opzione è sparita.
Io poi, all'interno dei miei siti, prevedo sempre un'avvertimento al navigatore
che se non ha javascript abilitato non può procedere, avvolte basta tanto poco.
Il problema non è avere script attivi o meno, ma abboccare a tecniche di
phishing più o meno complesse, talvolta rese difficilmente individuabili grazie
e piccole falle nei browser (come in questo caso). Prevedere un tasto per la
disattivazione di javascript quando tutti i siti ormai li usano lo vedo un po'
ingenuo: sarebbe un tasto cliccato 99 volte su 100.
Quando girava Netscape 4.7 erano altri tempi...
Dimenticavo, la pagina di test Secunia omessa nell'articolo è questa:
http://secunia.com/multip ...
ction_vulnerability_test/
"non cliccare su link a siti fidati trovati in siti non fidati"
questo mi pare un consiglio molto + semplice da seguire rispetto a disabilitare
il javascript :)
beh per me è una questione di punti di vista: datemi un browser sigillato dove poi io decido cosa fare di volta in volta e non il contrario (Script, popup, spy, ecc.), non voglio fare polemica ma è come, per esempio, con i famigerati 144, 166 ecc. dove la Telecom dice "se tu utente a dirmi che li vuoi disabilitare"..... è proprio un fatto di essere corretti che ormai è un comportamento sempre più raro.
No, il caso è completamente diverso: disabilitando gli 144 tagli dalle tue telefonate un numero molto esiguo di servizi e destinatari, che principalmente non chiami MAI. Se li hai attivi disattivarli è una singola operazione che probabilmente non annullerai. Mettere un pulsante per attivare ogni volta (magari separatamente) cookie, Javascript, applet Java, ActiveX (o magari ogni singolo script per ogni categoria) sarebbe come dover digitare un prefisso di 8 cifre per ogni telefonata che fai o ricevi per autorizzare l'operatore a darti la linea rassicurandolo che sei a conoscenza della tariffa che avrà la conversazione... Ma il paragone ancora non rende, dato che il numero di telefonate che faccio e ricevo in un giorno non è minimamente paragonabile alla quantità di siti che visito...
Segnalo che qualsiasi prova abbia fatto con Firefox 1.0 ed il popup-blocker
attivo, dimostra che è molto difficile in queste condizioni essere ingannati con
questo sistema.
Infatti, per come Firefox segnala la richiesta di aprire un popup, l'utente
capisce subito se il popup viene aperto da una scheda oppure da un'altra.
Inserireste i vostri dati in un popup che si apre in un altro sito che non sia
quello della banca?
Spero di no :P
Con la barra di Google e il blocco pop-up attivo si vede il numero dei pop-up bloccati che aumenta di qualche decina al secondo. Ovviamente è molto anomalo che il sito di una banca si comporti in questo modo...
a parte che Firefox 1.0 ha passato il test, io direi che se si deve accedere alla propria banca lo si fa andando direttamente sul sito, non cliccando su link sparsi in giro per il web! un po' di buonsenso vale più di mille sistemi di sicurezza! :-)
Great tnihking! That really breaks the mold!