Внутрисеансовый фишинг — это форма потенциальной фишинговой атаки, которая основана на том, что один сеанс веб-просмотра способен обнаружить наличие другого сеанса (например, посещение веб -сайта онлайн-банкинга ) в том же веб-браузере , а затем запустить всплывающее окно , которое имитирует открытие целевого сеанса. [1] Это всплывающее окно, которое пользователь теперь считает частью целевого сеанса, затем используется для кражи пользовательских данных таким же образом, как и при других фишинговых атаках. [2]
Преимущество фишинга во время сеанса для злоумышленника заключается в том, что ему не нужно, чтобы целевой веб-сайт был каким-либо образом скомпрометирован, вместо этого он полагается на комбинацию утечки данных в веб-браузере, возможности веб-браузеров запускать активный контент, способность современных веб-браузеров поддерживать более одного сеанса одновременно и социальную инженерию пользователя. [3]
Метод, который использовал уязвимость в обработке JavaScript основными браузерами, был обнаружен Амитом Кляйном, техническим директором поставщика решений безопасности Trusteer , Ltd. [4] [5] Последующие обновления безопасности браузеров могли сделать этот метод невозможным.
{{cite web}}
: CS1 maint: archived copy as title (link)[ необходима полная цитата ]