È possibile il phishing a clic singolo?

2

Per Chrome, IE / Edge, Safari, Firefox, Opera pubblicati dopo il 2018, è possibile che un phishing abbia successo semplicemente invitando un utente a fare clic su un URL?

Avviso: l'utente fa solo un clic sull'URL, senza alcuna operazione successiva sul sito web di phishing.

    
posta an0 05.10.2018 - 04:59
fonte

2 risposte

3

Questo sarebbe un attacco "Drive-by" , dove il semplice atto di visitare un sito web da un clic iniziale consente un hack di successo del client.

Solitamente l'escaping della sandbox, ottenendo l'esecuzione del codice e l'escalation dei privilegi, è il risultato della combinazione di più difetti per raggiungere l'obiettivo desiderato.

Quest'anno, il 2018, l'evento pwn2own tenutosi a marzo - ha premiato i premi per lo schiocco di Edge, Safari e Firefox su piattaforme desktop.

Quindi, in teoria, nel 2018 era possibile ... anche se guardi il dettagli del CVE per Chrome , Edge , Firefox e Safari vedrai le statistiche del CVE 2018 in quei browser. Dato che queste sono solo le vulnerabilità note, sembra probabile che il drive-by sia ancora possibile.

    
risposta data 05.10.2018 - 07:09
fonte
2

Un singolo clic su un collegamento dannoso potrebbe effettivamente essere pericoloso:

  • Drive by download, come Craig cita , potrebbe installare malware sfruttando bug nel tuo browser.
  • Gli attacchi XSS riflessi potrebbero essere utilizzati per rubare o modificare dati o dirottare il tuo accesso su un sito vulnerabile. (Nota che il collegamento non dovrebbe nemmeno essere al sito che è stato attaccato.)
  • Gli attacchi CSRF potrebbero essere utilizzati in modo simile per eseguire azioni su siti Web remoti che non avevi intenzione di preformare.

Non sono sicuro che chiamerei questo "phishing", ma questa è solo semantica.

    
risposta data 05.10.2018 - 11:17
fonte

Leggi altre domande sui tag