Oturum içi kimlik avı - In-session phishing

Oturum içi kimlik avı bir tür potansiyel e-dolandırıcılık birine dayanan saldırı internette gezinme oturumun başka bir oturumun varlığını tespit edebilmesi (örneğin, bir online bankacılık web sitesi) aynı internet tarayıcısı ve ardından bir açılır pencere hedeflenen oturumdan açılmış gibi görünüyor. Kullanıcının artık hedeflenen oturumun bir parçası olduğuna inandığı bu açılır pencere, daha sonra diğer kimlik avı saldırılarında olduğu gibi kullanıcı verilerini çalmak için kullanılır.

Saldırgan için oturum içi kimlik avının avantajı, hedeflenen web sitesinin herhangi bir şekilde tehlikeye atılmasına ihtiyaç duymaması, bunun yerine web tarayıcısı içindeki veri sızıntısı kombinasyonuna, web tarayıcılarının etkin içeriği çalıştırma kapasitesine güvenmesidir. modern web tarayıcılarının bir seferde birden fazla oturumu destekleyebilme yeteneği ve kullanıcının sosyal mühendisliği.

Büyük tarayıcıların Javascript işlemesindeki bir güvenlik açığından yararlanan teknik, güvenlik satıcısı Trusteer, Ltd.'nin CTO'su Amit Klein tarafından bulundu.^[1]^[2] Tarayıcılarda sonraki güvenlik güncellemeleri tekniği imkansız hale getirmiş olabilir.

Referanslar

^ Kaplan, Dan (14 Ocak 2009). "Yeni kimlik avı hilesi, verileri ele geçirmek için güvenli oturumlardan yararlanır". Alındı 9 Eylül 2018.
^ "Arşivlenmiş kopya" (PDF). Arşivlenen orijinal (PDF) 2009-01-22 tarihinde. Alındı 2009-01-20.CS1 Maint: başlık olarak arşivlenmiş kopya (bağlantı)

Dış bağlantılar

Bu Dünya çapında Ağ –İlgili makale bir Taslak. Wikipedia'ya şu yolla yardım edebilirsiniz: genişletmek.

[1] Kaplan, Dan (14 Ocak 2009). "Yeni kimlik avı hilesi, verileri ele geçirmek için güvenli oturumlardan yararlanır". Alındı 9 Eylül 2018.

[2] "Arşivlenmiş kopya" (PDF). Arşivlenen orijinal (PDF) 2009-01-22 tarihinde. Alındı 2009-01-20.CS1 Maint: başlık olarak arşivlenmiş kopya (bağlantı)

[1]

[2]