Функция автозаполнения, которую предлагают многие браузеры, является полезным инструментом, избавляющим Вас от необходимости вручную заполнять в онлайн-формах одну и ту же информацию. Таким образом, браузеры автоматически вставляют всю необходимую информацию, в результате чего пользователю не требуется переходить от одного поля онлайн-формы к другому для ввода информации, причем в большинстве случаев требуется вводить одинаковые данные. Впрочем, то, что на первый взгляд кажется только плюсом для домашних и корпоративных пользователей, фактически может нести в себе серьезные риски безопасности.
Автозаполнение может использоваться кибер-престпниками для осуществления фишинговых атак, целью которых является сбор пользовательских данных через скрытые поля. Когда Интернет-пользователь разрешает браузеру самостоятельно вставлять в форму требуемую информацию, он также будет заполнять и те поля, которые не отображаются на экране. В этом случае, когда человек отправляет заполненную онлайн-форму, вместе с ней злоумышленникам может быть отправлена также и персональная информация, о чем он и не будет даже подозревать.
Финский разработчик Вилиами Куосманен показал, как работают такие атаки, с помощью . Он создал форму, в которой видны только поля «Имя» и «Адрес электронной почты», а также кнопка «Отправить». Однако, исходный код веб-страницы с формой скрывает несколько секретов от пользователя: там было шесть полей (телефон, организация, адрес, почтовый индекс, город и страна), которые браузер автоматически заполнял в том случае, если была включена опция автозаполнения.
Данный подход – это простой метод получения всех видов персональной информации, который, по результатам тестов Куосманена, может быть использован в Chrome и Safari. Но и многие другие браузеры также предлагают опцию автозаполнения.
К счастью для пользователей, есть возможность отключить эту опцию в настройках браузера, причем это совсем не сложно. По умолчанию данная опция в браузерах активирована, при этом первоначально разрешения у пользователя не спрашивается. Так что необходимо выделить немного времени и отключить эту опцию вручную.
В случае с автозаполнением мы имеем серьезную угрозу безопасности персональной и корпоративной информации, которая, кстати, не вполне очевидна, потому что в отличие от других типов атак, в данном случае пользователь не видит ничего такого, что, на его взгляд, могло бы привести к каким-то подозрительным процессам.
Поэтому рекомендуется отключать опцию автозаполнения в браузерах, даже если это будет означать, что Вам потребуется тратить немного больше времени на заполнение этих надоедливых форм.
Оригинал статьи:
Panda Security в России
+7(495)105 94 51, marketing@rus.pandasecurity.com
