Ataque de phishing pode enganar até mesmo os mais atentos

Antoine Vincent Jebara , co-fundador e CEO do software de gerenciamento de senhas Myki , disse ao site The Hacker News que sua equipe recentemente detectou uma nova campanha de ataques de phishing “que até os usuários mais expertos poderiam cair nesse golpe”.

Vincent descobriu que os cibercriminosos estão distribuindo links para blogs e serviços que levam os visitantes a primeiro “fazer o login usando uma conta do Facebook ” para ler um artigo exclusivo ou comprar um produto com desconto.

Isso é bom. Entrar com o Facebook ou qualquer outro serviço de mídia social é um método seguro e está sendo usado por um grande número de sites para facilitar a inscrição dos visitantes em um serviço de terceiros rapidamente.

Geralmente, quando você clica no botão “fazer login com o Facebook” disponível em qualquer site, você é redirecionado para o facebook.com em uma nova janela do navegador pop-up, solicitando que você insira suas credenciais do Facebook para autenticar usando o OAuth e permitindo que o serviço acesse as informações necessárias do seu perfil.

No entanto, Vincent descobriu que os blogs maliciosos e serviços on-line estão atendendo usuários com um falso login do Facebook muito realista, depois de clicarem no botão de login que foi projetado para capturar credenciais inseridas pelos usuários, como qualquer site de phishing.

Como mostrado no vídeo que Vincent compartilhou, o falso prompt de login pop-up, criado com HTML e JavaScript, é reproduzido perfeitamente para parecer exatamente como uma janela legítima do navegador – barra de status, barra de navegação, sombras e URL para o site do Facebook com o cadeado que indica um HTTPS válido.

Além disso, os usuários também podem interagir com a falsa janela do navegador, arrastá-la para cá e para lá ou sair da mesma maneira que qualquer janela legítima funciona.

A única maneira de se proteger contra esse tipo de ataque de phishing, de acordo com Vincent, “é tentar arrastar o prompt para longe da janela em que ele está atualmente exibido. Se arrastá-lo falhará (parte do pop-up desaparece além da borda da janela), é um sinal definitivo de que o popup é falso. “

Além disso, é sempre recomendável habilitar a autenticação de dois fatores com todos os serviços possíveis, impedindo que hackers acessem suas contas on-line, caso consigam obter suas credenciais.

Os esquemas de phishing ainda são uma das ameaças mais graves para os usuários e empresas, e os hackers continuam tentando maneiras novas e criativas de induzi-los a fornecer detalhes confidenciais e financeiros que poderiam usar para roubar seu dinheiro ou invadir suas contas online.

Fonte The Hacker News

Canal theevolutiontech

Apenas mais um fã da grande rede , um maluco pela internet que passa grande parte do tempo conectado sempre a procura de novidades online , e sempre achando já que a rede é movida por novidades ...

Deixe um Comentário !