Κάποιοι phishers έχουν βρει τρόπο να χρησιμοποιουν αυθεντικούς λογαριασμούς του MySpace.com για να παραπλανήσουν χρήστες ώστε να τους αποκαλύψουν τις λεπτομέρειες του λογαριασμού τους.

Την Παρασκευή, η εταιρία ανάλυσης του Web, Netcraft Ltd., ανέφερε ότι ένας χρήστης του MySpace έστελνε e-mails στα υποψήφια θύματα καλώντας τα να επισκεπτούν μια "ψευδη" σελίδα log-in, όπου τους ζητήθηκε να εισάγουν την διευθυνση e-mail τους και τον κωδικό τους. Αυτές οι πληροφορίες στέλνονταν τότε σε έναν server που βρισκόταν στην Γαλλία, σύμφωνα με την εταιρία Netcraft.

Η επίθεση, η οποία διακόπηκε από την MySpace γύρω στις 10 το πρωί Παρασκευής, εκμεταλλέυτηκε τον τρόπο που το MySpace οργανώνει τα URLs (Uniform Resource Locators) έτσι ώστε να δώσει στην "ψευδή" σελίδα μια πιστευτή Web address, κάτι το οποίο θα μπορούσε να μπερδέψει ακόμα και "προχωρημένους" στον τομέα της ασφάλειας χρήστες, σύμφωνα με τον αναλυτή της Netcraft Rich Miller.

Ο "επιτιθέμενος" έιχε κάνει εγγραφή στο MySpace με έναν λογαριασμό που λεγόταν login_home_index_html, κάτι που σημαίνει πως ότι η σελίδα MySpace που φιλοξενούσε το "ψευδές" login, έμοιαζε σαν ένα νόμιμο μέρος όπου οι χρήστες θα έκαναν έναρξη της υπηρεσίας. Οι χρήστες που επισκέπτηκαν εκείνη την σελίδα θα έβλεπαν ένα νόμιμο URL αλλά δεν θα συνειδητοποιούσαν απαραίτητα ότι ήταν, στην πραγματικότητα, στην σελίδα ένός χρήστη του MySpace η οποία είχε τροποποιηθεί έτσι ώστε να τους εξαπατήσει να εισάγουν την διευθυνση e-mail τους και τον κωδικό τους.

Αυτού του τύπου η επίθεση δεν είναι πρωτάκουστη, αλλά δείχνει "έναν ακόμα ενδιαφέροντα τρόπο με τον οποίο οι phishers προσπαθούν να ξεγελάσουν ανθρώπους ώστε να τους αποσπάσουν πληροφορίες του λογαριασμού τους", είπε ο Miller.


infoworld