Phishing-metoden kan lure de fleste.
Sikkerhetsteamet bak passordhåndtereren Myki rapporterer om en ny metode for phishing. Metoden misbruker tilliten som finnes for 3-parts innlogging. I det siste er det blitt vanlig å tillate brukere å registrere seg gjennom OAuth-løsningene som Google og Facebook tilbyr.
Når en bruker registrerer seg på denne måten, dukker det som oftes opp en pop-up som ber brukeren logge inn på Facebook eller Google-kontoen sin. Dette utnyttes av angriperne ved å lage en ondsinnet dialog som ser legitim ut. Forskjellen er at hele vinduet er laget ved hjelp av HTML, CSS og JavaScript. Brukeren opplever dialogen som et eget vindu selv om den egentlig bare er en del av nettsiden. Dialogen har selvfølgelig riktig “url” i addressebaren med SSL kryptering, noe som gjør at flere lar seg lure.
Husk å skru på 2-trinns bekreftelse der dette er mulig.
https://nettvett.no/2-trinns-bekreftelse/
Les mer.
https://thehackernews.com/2019/02/advance-phishing-login-page.html