News: tutti i segreti di Internet

Banche online tradite dai browser insicuri

Condividi:         Nikk 10 09 Dicembre 04 @ 12:00 pm

Cliccando su un link del sito della vostra banca, compare una pagina che vi chiede nome utente e password. Le digitate, convinti di essere sicuri. Ma in realtà quella pagina non appartiene al sito della banca: è di un altro sito gestito da un criminale, al quale avete appena regalato la password che protegge i vostri conti correnti. Eppure il sito della banca non è stato violato.

Inorridite pure: è un problema che tocca praticamente tutti i browser in circolazione. Il sito Secunia.com ha pubblicato una pagina dimostrativa in cui mostra chiaramente gli effetti che ho descritto sopra, usando come bersaglio la Citibank (sostituibile con qualsiasi altra banca o altro sito di commercio elettronico).

Eseguire la dimostrazione è molto semplice.

* Andate alla pagina dimostrativa di Secunia.com.

* Se avete un browser che blocca i pop-up, cliccate sul primo link della pagina di Secunia.com, quello etichettato "Test Now - With Pop-up Blocker - Left Click On This Link"; se il vostro browser non blocca i pop-up, cliccate sul secondo link, etichettato "Test Now - Without Pop-up Blocker - Left Click On This Link". Entrambi portano davvero al sito di Citibank.

* Cliccate sul logo "Consumer Alert" nella finestra del sito Citibank.

* Se la dimostrazione ha successo, invece di far comparire il contenuto del sito Citibank, la cliccata fa comparire una finestra (innocua, in questo caso) del sito Secunia, al posto del quale poteva benissimo esserci una richiesta ostile di password da parte di un sito gestito da un criminale informatico.

Se volete ripetere la dimostrazione, ricaricate la pagina dimostrativa di Secunia.com.

Questo effetto estremamente pericoloso riguarda, a detta di Secunia, Internet Explorer, Mozilla, Firefox, Opera, Konqueror, Safari e Netscape, a prescindere dal sistema operativo sul quale girano.

In attesa che i produttori dei vari browser risolvano la falla, potreste disabilitare Javascript, ma questo renderebbe impossibile navigare in molti siti, oppure abituarvi a non visitare contemporaneamente siti fidati e siti non fidati e a non cliccare su link a siti fidati trovati in siti non fidati.

Sarebbe anche opportuno che i siti smettessero di usare Javascript per far comparire finestre pop-up e per molte altre funzioni che si possono benissimo implementare in modo molto meno insicuro in semplice HTML, ma i realizzatori di siti sono notoriamente più interessati all'estetica che alla sicurezza. E noi paghiamo.

Tratta da Zeusnews



10 commenti a "Banche online tradite dai browser insicuri":
iucaa iucaa il 09 Dicembre 04 @ 13:08 pm

Per la mia esperienza di programmatore web e webmaster basterebbe avere javascript e vbscript disabilitati per default nei vari browser, ed inserire due pulsantini nella barra di navigazione che abilitino gli stessi a richiesta (cioè a scelta del navigatore), il vecchio netscape 4.7 prevedeva una cosa simile, ma bisognava entrare dentro la configurazione ed era molto scomodo, poi con Mozilla quell'opzione è sparita.
Io poi, all'interno dei miei siti, prevedo sempre un'avvertimento al navigatore che se non ha javascript abilitato non può procedere, avvolte basta tanto poco.

Dylan666 Dylan666 il 09 Dicembre 04 @ 13:23 pm

Il problema non è avere script attivi o meno, ma abboccare a tecniche di phishing più o meno complesse, talvolta rese difficilmente individuabili grazie e piccole falle nei browser (come in questo caso). Prevedere un tasto per la disattivazione di javascript quando tutti i siti ormai li usano lo vedo un po' ingenuo: sarebbe un tasto cliccato 99 volte su 100.
Quando girava Netscape 4.7 erano altri tempi...

Dylan666 Dylan666 il 09 Dicembre 04 @ 13:25 pm

Dimenticavo, la pagina di test Secunia omessa nell'articolo è questa:
http://secunia.com/multip ... ction_vulnerability_test/

pjfry pjfry il 09 Dicembre 04 @ 14:53 pm

"non cliccare su link a siti fidati trovati in siti non fidati"
questo mi pare un consiglio molto + semplice da seguire rispetto a disabilitare il javascript :)

iucaa iucaa il 10 Dicembre 04 @ 13:03 pm

beh per me è una questione di punti di vista: datemi un browser sigillato dove poi io decido cosa fare di volta in volta e non il contrario (Script, popup, spy, ecc.), non voglio fare polemica ma è come, per esempio, con i famigerati 144, 166 ecc. dove la Telecom dice "se tu utente a dirmi che li vuoi disabilitare"..... è proprio un fatto di essere corretti che ormai è un comportamento sempre più raro.

Dylan666 Dylan666 il 10 Dicembre 04 @ 13:26 pm

No, il caso è completamente diverso: disabilitando gli 144 tagli dalle tue telefonate un numero molto esiguo di servizi e destinatari, che principalmente non chiami MAI. Se li hai attivi disattivarli è una singola operazione che probabilmente non annullerai. Mettere un pulsante per attivare ogni volta (magari separatamente) cookie, Javascript, applet Java, ActiveX (o magari ogni singolo script per ogni categoria) sarebbe come dover digitare un prefisso di 8 cifre per ogni telefonata che fai o ricevi per autorizzare l'operatore a darti la linea rassicurandolo che sei a conoscenza della tariffa che avrà la conversazione... Ma il paragone ancora non rende, dato che il numero di telefonate che faccio e ricevo in un giorno non è minimamente paragonabile alla quantità di siti che visito...

Mikizo Mikizo il 12 Dicembre 04 @ 22:04 pm

Segnalo che qualsiasi prova abbia fatto con Firefox 1.0 ed il popup-blocker attivo, dimostra che è molto difficile in queste condizioni essere ingannati con questo sistema.
Infatti, per come Firefox segnala la richiesta di aprire un popup, l'utente capisce subito se il popup viene aperto da una scheda oppure da un'altra.
Inserireste i vostri dati in un popup che si apre in un altro sito che non sia quello della banca?
Spero di no :P

ghigosgri ghigosgri il 13 Dicembre 04 @ 11:07 am

Con la barra di Google e il blocco pop-up attivo si vede il numero dei pop-up bloccati che aumenta di qualche decina al secondo. Ovviamente è molto anomalo che il sito di una banca si comporti in questo modo...

Jinlian Jinlian il 21 Dicembre 04 @ 17:19 pm

a parte che Firefox 1.0 ha passato il test, io direi che se si deve accedere alla propria banca lo si fa andando direttamente sul sito, non cliccando su link sparsi in giro per il web! un po' di buonsenso vale più di mille sistemi di sicurezza! :-)

Cornelia Cornelia il 05 Luglio 11 @ 17:18 pm

Great tnihking! That really breaks the mold!

Lascia un commento

Insulti, volgarità e commenti ritenuti privi di valore verranno modificati e/o cancellati.
Nome:

Commento:
Conferma visiva: (ricarica)

Inserisci la targa della città indicata nell'immagine.

Login | Iscriviti

Username:

Password: