Ny attack: Använd separat webbläsare för dina bankärenden!

Eftersom javascript kan öppna en url, så kan ett javascript från någon sajt kolla om den kan ladda en bild från en annan sajt, t ex från en banks "säkra" webbsidor. Om javascriptet kan ladda bilden, ja då är du inloggad på den sajten. På så sätt kan koden veta att du är inloggad på en specifik bank, och kan lägga upp en loginruta, som påstår att du är utloggad och måste logga in igen.

Jag har inte provat detta hack, men det borde fungera för alla sajter som har kända url:er som är skyddade med lösenord. Så det borde fungera på alla möjliga lösenordsskyddade tjänster, speciellt de som skyddar per directory.

Vad är lösningen? Jag skulle hävda att man bör göra bankärenden i en separat webbläsare med bara ett webbläsarfönster öppet, och med tajt säkerhet inställd. Använd t ex Portable Firefox, som kan leva i ett eget  bibliotek på hårddisken.

Kanske man som webbutvecklare  måste skydda sig genom att randomisera url:er i framtiden. Hmmm, många användare kräver nästan DHTML+javascript idag, för att det ger ett mer kraftfullt användargränssnitt, så det kan nog bli svårt att bara slå av javascript eller ens delar av dess funktioner.

The malware exploits weaknesses in the browser that lets the attacker "see" the banking site URL where the victim is logged in, and then the phisher automatically generates a popup posing as that bank. If the user falls for the popup lure and enters his banking credentials, the phisher then gets those credentials

Läs mer: New Phishing Attack Targets Online Banking Sessions With Phony Popups - DarkReading

It's explained in a few comments above. You just reference a resource (usually an image) that requires you to be logged in at the target site in order to access. If your attempt fails, the user isn't logged in at that site. If it succeeds, you know the user is currently logged in.

Läs mer: Slashdot | Phishing For Bank Info Without Any Pesky Malware