Poradce pro zabezpečení
Poradce microsoftu pro zabezpečení 902333
Okna prohlížeče bez označení jejich původu lze použít při pokusech o útok phishing.
Publikováno: 21. června 2005
Společnost Microsoft prošetřila veřejnou sestavu metody phishing, která obecně ovlivňuje webové prohlížeče, včetně Internet Exploreru.
Sestava popisuje scénář více překrývajících se oken prohlížeče, z nichž některé neobsahují žádné označení jejich původu. Útočník by mohl uspořádat okna takovým způsobem, jako by oklamat uživatele, aby si myslel, že neidentifikovaný dialog nebo automaticky otevírané okno je důvěryhodné, když je ve skutečnosti podvodný. Když uživatel navštíví škodlivý web, může být uživatel přesměrován na důvěryhodný web. Útočník by pak mohl zobrazit překrývající se okno ve formě dialogového okna, které se pokouší o útok phishing. Uživateli se pak zobrazí výzva k zadání osobních údajů do tohoto dialogového okna, které bylo otevřeno ze škodlivého webu. Uživatel se může domnívat, že toto dialogové okno otevřel důvěryhodný web a mohl by zadat osobní údaje. Tyto informace se však posílají na škodlivý web.
Zákazníci, kteří již dodržují naše obecné pokyny k zabránění falšování identity a útokům phishing, jsou ohroženi nižším rizikem ovlivnění tímto problémem. Pokud určité okno nebo dialogové okno nemá adresní řádek a nemá ikonu zámku, která se dá použít k ověření certifikátu webu, uživatel není k dispozici dostatek informací, na kterých založit platné rozhodnutí o důvěryhodnosti o okně nebo dialogovém okně. Pokud si chcete prohlédnout obecné pokyny Microsoftu, jak se vyhnout falšování identity útoků, navštivte web Zabezpečení na domovské stránce.
Nadále doporučujeme zákazníkům nainstalovat systém Windows XP SP2 a postupovat podle našich pokynů k ochraně počítače s povolením brány firewall. To zahrnuje zapnutí automatického Aktualizace pro příjem aktualizací softwaru a instalaci antivirového softwaru. Další informace naleznete na webu Chránit váš počítač.
Zákazníci, kteří se domnívají, že mohou být touto metodou útoku phishing ovlivněni, mohou kontaktovat služby podpory produktů. Prostřednictvím linky PC Sejf ty (1866-PCSAFETY) můžete kontaktovat služby podpory produktů v Severní Amerika bez poplatků. Mezinárodní zákazníci můžou kontaktovat služby podpory produktů pomocí některé z dostupných metod, které najdete na webu Nápověda a podpora domácího uživatele společnosti Microsoft.
Obecné informace
Přehled
Účel rady: Objasnění rizik spojených s okny prohlížeče bez označení jejich původu a poskytnutí pokynů k tomu, jak zabránit krádeži identity před podvody phishing.
Stav poradce: Publikováno poradenství, neplánovaná žádná aktualizace zabezpečení.
Doporučení: Zkontrolujte navrhované akce a podle potřeby nakonfigurujte.
| Reference | Webu |
|---|---|
| Ochrana před krádeží identity před podvody phishing | Zabezpečení na domovském webu |
| Ochrana počítače | Ochrana webu počítače |
Toto doporučení platí pro následující software.
| Související software |
| Internet Explorer 5.01 Service Pack 3 v systému Microsoft Windows 2000 Service Pack 3 |
| Internet Explorer 5.01 Service Pack 4 v systému Microsoft Windows 2000 Service Pack 4 |
| Internet Explorer 6 Service Pack 1 v systému Microsoft Windows 2000 Service Pack 3, v systému Microsoft Windows 2000 Service Pack 4 nebo v systému Microsoft Windows XP Service Pack 1 |
| Internet Explorer 6 pro Microsoft Windows XP Service Pack 2 |
| Internet Explorer 6 Service Pack 1 pro Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium) |
| Internet Explorer 6 pro Microsoft Windows Server 2003 a Microsoft Windows Server 2003 Service Pack 1 |
| Internet Explorer 6 pro systém Microsoft Windows Server 2003 s procesorem Itanium, Microsoft Windows Server 2003 s aktualizací SP1 s procesorem Itanium, Microsoft Windows XP 64-Bit Edition verze 2003 (Itanium), Microsoft Windows Server 2003 x64 Edition a Microsoft Windows XP Professional x64 Edition |
| Internet Explorer 5.5 Service Pack 2 v systému Microsoft Windows Millennium Edition |
| Internet Explorer 6 Service Pack 1 v systému Microsoft Windows 98, v systému Microsoft Windows 98 SE nebo v systému Microsoft Windows Millennium Edition |
| Internet Explorer 5.1 pro Macintosh |
Poznámka: Webové prohlížeče, které jsou zde uvedené jsou aktuálně podporované verze aplikace Internet Explorer. Tato funkce ale není omezena na Internet Explorer, ale je běžná pro mnoho webových prohlížečů.
Nejčastější dotazy
Jaký je rozsah poradenství?
Toto rady vysvětluje aktuální chování překrývajících se oken z různých zdrojů v Internet Exploreru. Tato funkce není omezena na Internet Explorer, ale je společná pro mnoho webových prohlížečů.
Co způsobuje tuto situaci?
Běžné pro různé prohlížeče, včetně Internet Exploreru, je možné mít více překrývajících se oken prohlížeče. Útočník by mohl uspořádat okna takovým způsobem, jako by oklamat uživatele, aby si myslel, že neidentifikovaný dialog nebo automaticky otevírané okno je důvěryhodné, když je ve skutečnosti podvodný. Když uživatel navštíví škodlivý web, může být uživatel přesměrován na důvěryhodný web. Útočník by pak mohl zobrazit překrývající se okno ve formě dialogového okna, které se pokouší o útok phishing. Uživateli se pak zobrazí výzva k zadání osobních údajů do tohoto dialogového okna, které bylo otevřeno ze škodlivého webu. Uživatel se může domnívat, že toto dialogové okno otevřel důvěryhodný web a mohl by zadat osobní údaje. Tyto informace se však posílají na škodlivý web.
Vydá Společnost Microsoft aktualizaci zabezpečení, která bude tuto hrozbu řešit?
Ne. Toto je příklad použití aktuální standardní funkce webového prohlížeče při pokusech o útok phishing.
Navrhované akce
Další informace o tom, jak se chránit online, naleznete na následujících webech společnosti Microsoft:
Další informace
Zdroje:
- Svůj názor můžete poskytnout vyplněním formuláře na následujícím webu.
- Zákazníci v USA a Kanadě můžou získat technickou podporu ze služeb technické podpory společnosti Microsoft. Další informace o dostupných možnostech podpory naleznete na webu Nápověda a podpora společnosti Microsoft.
- Mezinárodní zákazníci můžou získat podporu od místních poboček Microsoftu. Další informace o tom, jak kontaktovat Společnost Microsoft o problémech s mezinárodní podporou, naleznete na webu mezinárodní podpory.
- Web Microsoft TechNet Security poskytuje další informace o zabezpečení v produktech Společnosti Microsoft.
Právní omezení:
Informace uvedené v tomto poradenství jsou poskytovány "tak, jak jsou" bez záruky jakéhokoli druhu. Společnost Microsoft odmítá všechny záruky, ať už výslovné nebo předpokládané, včetně záruk prodejnosti a vhodnosti pro určitý účel. V žádném případě společnost Microsoft Corporation nebo její dodavatelé nenese odpovědnost za jakékoli škody, včetně přímých, nepřímých, náhodných, následných, ztrát obchodních zisků nebo zvláštních škod, a to i v případě, že společnost Microsoft Corporation nebo její dodavatelé byli upozorněni na možnost těchto škod. Některé státy neumožňují vyloučení nebo omezení odpovědnosti za následné nebo náhodné škody, takže výše uvedené omezení nemusí platit.
Revize:
- 21. června 2005: Poradce publikováno
Postaveno v 2014-04-18T13:49:36Z-07:00