Опубликован продвинутый код для кражи банковских данных
Хакер опубликовал код для мощной атаки межсайтового скриптинга, которая, как заявляется, идет дальше обычного похищения куки или реализации фишинга для кражи личной информации пользователей.
Уязвимости межсайтового скриптинга (XSS) позволяет хакерам контролировать содержание уязвимого, но все еще доверенного сайта, передавая критическую информацию киберпреступникам. Помимо создания средств для всплывающих окон, которые ведут на контролируемые хакерами сайты, XSS так же может привести к краже куки.
Никлас Фемерстранд – хакер, который в октябре 2011 обнаружил, что механизм отладки сайта American Express был уязвим к такого рода уязвимости. Он разработал так называемый «XSS на стероидах»-скрипт, исследовав похожую уязвимость на сайте одного из шведских банков.
«Существуют общепринятые мифы о XSS, в которых он может быть использован для фишинга и сбора куки», — сказал он. «Мой код разрушает эти мифы и преобразует непостоянный XSS в нечто устойчивое».
«Я создал такой код, который определяет свое собственное наличие и локально инфицирует полезной нагрузкой все ссылки веб-сайта для посетителя. В этом случае непостоянный XSS становится постоянным для него. Он также следит за поведением пользователя и отправляет интересную информацию хакеру (логины, пароли, информацию о кредитной карте)», — добавил он.
Фемерстранд опубликовал свой код на этом сайте на прошлой неделе.
«Изначально код был написал как доказательство того, насколько легко ограбить банк в настоящее время», — написал он. «Я вижу, что банки насмехаются над людьми. Банки недостаточно серьезно относятся к вопросам безопасности. Но когда человек видит надпись стандарт PCI DSS, он думает, что банк хорошо выполняет свою работу, но по сути, все, что делают подобные стандарты – выдают логотип «подтверждено нами же» и проверяют 4-ех значные ли PIN коды».
Источник: http://www.xakep.ru/post/58030/
