Esporta (0) Stampa
Espandi tutto

Advisory Microsoft sulla sicurezza 902333

Le finestre del browser prive di indicazioni relative alla propria origine possono essere utilizzate per tentativi di phishing

Data di pubblicazione: martedì 21 giugno 2005

Microsoft ha analizzato un report pubblico relativo a un metodo di phishing che interessa i browser Web in generale, incluso Internet Explorer.

Il report descrive uno scenario di più finestre del browser sovrapposte, alcune delle quali non contengono indicazioni relative alla propria origine. Un utente malintenzionato può organizzare queste finestre in modo da indurre gli utenti a ritenere affidabile una finestra popup o di dialogo non identificata che è invece illegittima. Quando un utente visita un sito Web dannoso potrebbe essere reindirizzato verso un sito Web affidabile. L'utente malintenzionato potrebbe quindi visualizzare una finestra sovrapposta sotto forma di finestra di dialogo e tentare un attacco di phishing. A questo punto verrebbe richiesto all'utente di immettere informazioni personali nella finestra di dialogo che è stata aperta dal sito Web dannoso. L'utente potrebbe credere che tale finestra di dialogo sia stata aperta dal sito Web affidabile e immettere pertanto alcune informazioni personali. Queste informazioni, invece, verrebbero inviate al sito Web dannoso.

I clienti che già seguono le nostre indicazioni generali su come evitare gli attacchi di spoofing e di phishing sono meno a rischio. Una finestra o una finestra di dialogo senza barra degli indirizzi e priva dell'icona del lucchetto, che consente di verificare il certificato del sito, non fornisce sufficienti informazioni perché l'utente possa ritenerla attendibile. Per visualizzare le indicazioni generali di Microsoft su come evitare gli attacchi di spoofing, visitate il sito Web Sicurezza a casa.

Microsoft incoraggia i clienti a installare Windows XP SP2 e a seguire le indicazioni disponibili in Proteggi il tuo PC per attivare un firewall. Queste includono anche l'attivazione di Aggiornamenti automatici per ricevere gli aggiornamenti software e installare un software antivirus. Per ottenere ulteriori informazioni, visitate il sito Web Proteggi il tuo PC.

Se pensate di aver già subito questo tipo di attacco di phishing, contattate il Servizio supporto tecnico. Questo servizio può essere contattato gratuitamente dagli Stati Uniti utilizzando la linea PC Safety (1866-PCSAFETY). I clienti internazionali possono contattare il Servizio supporto tecnico utilizzando uno dei metodi descritti nel sito Web Guida alla sicurezza e supporto tecnico per utenti privati.

Informazioni generali

Scopo dell'advisory: chiarire i rischi associati alle finestre del browser prive di indicazioni relative alla propria origine e fornire indicazioni su come evitare il furto d'identità attuato tramite phishing.

Stato dell'advisory: pubblicato, nessun aggiornamento per la protezione pianificato.

Raccomandazione: esaminare gli interventi consigliati e configurare il sistema in base alle necessità.

Riferimentisito Web
Prevenite il furto d'identità attuato tramite phishing Sito Web Sicurezza a casa
Proteggi il tuo PC Sito Web Proteggi il tuo PC

Questo advisory si applica al seguente software.

Software correlato
Internet Explorer 5.01 Service Pack 3 in Microsoft Windows 2000 Service Pack 3
Internet Explorer 5.01 Service Pack 4 in Microsoft Windows 2000 Service Pack 4
Internet Explorer 6 Service Pack 1 in Microsoft Windows 2000 Service Pack 3, in Microsoft Windows 2000 Service Pack 4 e Microsoft Windows XP Service Pack 1
Internet Explorer 6 in Microsoft Windows XP Service Pack 2
Internet Explorer 6 Service Pack 1 per Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium)
Internet Explorer 6 per Microsoft Windows Server 2003 e Microsoft Windows Server 2003 Service Pack 1
Internet Explorer 6 per Microsoft Windows Server 2003 per sistemi basati su Itanium, Microsoft Windows Server 2003 con SP1 per sistemi basati su Itanium, Microsoft Windows XP 64-Bit Edition versione 2003 (Itanium), Microsoft Windows Server 2003 x64 Edition e Microsoft Windows XP Professional x64 Edition
Internet Explorer 5.5 Service Pack 2 su Windows Millennium Edition (ME):
Internet Explorer 6 Service Pack 1 in Microsoft Windows 98, in Microsoft Windows 98 SE e Microsoft Windows Millennium Edition
Internet Explorer 5.1 per Macintosh

Nota I browser Web enumerati sono le versioni di Internet Explorer attualmente supportate. Tuttavia, questa funzionalità non è limitata a Internet Explorer ma riguarda anche molti altri browser Web.

Qual è lo scopo di questo advisory?
Questo advisory chiarisce il funzionamento di finestre sovrapposte provenienti da origini diverse in Internet Explorer. Questa funzionalità non è limitata a Internet Explorer ma riguarda anche molti altri browser Web.

A cosa è dovuta questa situazione?
Vari browser, tra cui Internet Explorer, consentono la visualizzazione di più finestre sovrapposte. Un utente malintenzionato può organizzare queste finestre in modo da indurre gli utenti a ritenere affidabile una finestra popup o di dialogo non identificata che è invece illegittima. Quando un utente visita un sito Web dannoso potrebbe essere reindirizzato verso un sito Web affidabile. L'utente malintenzionato potrebbe quindi visualizzare una finestra sovrapposta sotto forma di finestra di dialogo e tentare un attacco di phishing. A questo punto verrebbe richiesto all'utente di immettere informazioni personali nella finestra di dialogo che è stata aperta dal sito Web dannoso. L'utente potrebbe credere che tale finestra di dialogo sia stata aperta dal sito Web affidabile e immettere pertanto alcune informazioni personali. Queste informazioni, invece, verrebbero inviate al sito Web dannoso.

Microsoft prevede di pubblicare un aggiornamento per la protezione relativo a questa minaccia?
No. Questo è un esempio di come è possibile utilizzare le attuali funzionalità standard dei browser Web per tentativi di phishing.

Per ulteriori informazioni sulla protezione del sistema online, visitate i seguenti siti Web di Microsoft:

Altre informazioni

Risorse:

  • Per usufruire dei servizi del supporto tecnico, visitate il sito del Supporto tecnico Microsoft. Per ulteriori informazioni sulle opzioni di supporto disponibili, visitare il sito Web Microsoft Guida in linea e supporto.
  • I clienti internazionali possono ottenere assistenza tecnica presso le filiali Microsoft locali. Per ulteriori informazioni su come contattare Microsoft per ottenere supporto internazionale, visitare il sito Web del supporto internazionale.
  • Nella sezione dedicata alla sicurezza del sito Web Microsoft TechNet sono disponibili ulteriori informazioni sulla protezione e la sicurezza dei prodotti Microsoft.

Dichiarazione di non responsabilità:

Le informazioni disponibili in questo advisory sono fornite "come sono" senza garanzie di alcun tipo. Conseguentemente, Microsoft non rilascia alcuna garanzia, esplicita o implicita, inclusa la garanzia di commerciabilità e di idoneità per uno scopo specifico. Microsoft Corporation o i suoi fornitori non saranno, in alcun caso, responsabili per danni di qualsiasi tipo, inclusi i danni diretti, indiretti, incidentali, consequenziali, la perdita di profitti e i danni speciali, anche qualora Microsoft Corporation o i suoi fornitori siano stati informati della possibilità del verificarsi di tali danni. Alcuni stati non consentono l'esclusione o la limitazione di responsabilità per danni diretti o indiretti e, dunque, la sopracitata limitazione potrebbe non essere applicabile.

Versioni:

  • Data di pubblicazione: 21 giugno 2005

Built at 2014-04-18T01:50:00Z-07:00

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.
Mostra:
© 2015 Microsoft