Sulmet e phishing kanë qenë praktikisht gjithmonë një nga kërcënimet më të zakonshme për të rrezikuar të dhënat dhe pajisjet e përdoruesve, veçanërisht të atyre që janë më pak të vetëdijshëm.
Megjithatë, kohët e fundit, përdorimi i kodit HTML dhe JavaScript për të shpërndarë malware bankar dhe Trojan të tipit RAT në bashkëngjitjet e postës elektronike dhe faqet e internetit është bërë gjithnjë e më popullor.Kërkuesit e Microsoft kanë ngritur alarmin, duke nënvizuar gjithashtu se kjo në fjalë nuk përfaqëson një teknikë të re, por një sistem që përdoret prej disa kohësh, por që gjen terren pjellor vetëm së fundmi.
Për të dhënë një shembull praktik, një sulmues që synon të shfrytëzojë teknikën në fjalë mund të krijojë një bashkëngjitje HTML ad hoc për t’u dërguar me email ose, madje, mund të përfshijë kod specifik HTML direkt në trupin e mesazhit, me një lidhje në një e njohur, pra teorikisht jo e rrezikshme. Megjithatë, duke klikuar në lidhjen, vargu i koduar konvertohet, nëpërmjet JavaScript, në një bashkëngjitje me qëllim të keq të shkarkuar në pajisjen e viktimës.
Në përgjithësi, file i shkarkuar në pajisjen e viktimës është një arkiv ZIP që përmban një shkarkues skedari JavaScript, i cili merr skedarët e nevojshëm për të përfunduar sulmin nga një server i largët. Në disa raste, arkivat në fjalë mbrohen me një fjalëkalim, i cili gjithsesi është dhënë në bashkëngjitjen origjinale të HTML, kështu që viktima duhet ta fusë atë me dorë.
Për më tepër, duke pasur parasysh që vargjet fillestare janë të koduara, ato nuk zbulohen si të dëmshme nga asnjë softuer sigurie në përdorim në pajisje, duke shmangur kështu çdo kontroll.
Natyrisht, mënyra më e mirë për t’u mbrojtur kundër gjithë kësaj është të jesh gjithmonë jashtëzakonisht i kujdesshëm dhe t’i kushtosh vëmendje të veçantë asaj që klikohet dhe shkarkohet nga kompjuterët, smartphone dhe tabletët.
Discussion about this post