Фишеры внедрили свой скрипт на eBay

Фишеры создали поддельную страницу сайта eBay, используя в описании лотов официально разрешенный интернет-аукционом JavaScript.
Конечный вид поддельной страницы зависит от типа обращения к ней. В случае если в запросе нет специального параметра, описание аукционного лота сводится к «357473301». «Использование JavaScript и Ajax позволяет мошенникам создавать более убедительные схемы», — комментирует новый ход фишеров представитель Symantec Оливер Фридрикс. Специалисты этой компании выяснили, что по запросу, содержащему параметр jsc=sig, пользователю выдается страница авторизации, полностью аналогичная оригинальной странице eBay.
«Эту атаку нельзя назвать изощренной, поскольку мошенник совершил несколько глупых ошибок. Однако он легко мог сделать все гораздо лучше», — сообщил Билл Шо (Bill Shaw) — вице-президент компании TOPPSoft Computer Solutions, разработавшей eBay.
Наиболее актуальным остается вопрос, каким образом мошенники сумели внедрить свой яваскрипт в список аукционных лотов. eBay, как правило, фильтрует подобные вещи ровно по этой причине, а этому фишеру удалось обойти фильтры. eBay позволяет пользователям включать JavaScript в списки лотов и будет делать это в дальнейшем. Некоторые люди злоупотребляют этой возможностью, однако риск минимален, а преимущества JavaScript огромно. Так заявила пресс-секретарь.

Источник: Uinc.ru