Avviso di sicurezza
Microsoft Security Advisory 902333
Finestre del browser senza indicazioni sulle loro origini possono essere usate nei tentativi di phishing
Pubblicato: 21 giugno 2005
Microsoft ha esaminato un report pubblico di un metodo di phishing che influisce sui Web browser in generale, incluso Internet Explorer.
Il report descrive lo scenario di più finestre del browser sovrapposte, alcune delle quali non contengono indicazioni relative all'origine. Un utente malintenzionato potrebbe organizzare finestre in modo tale da ingannare gli utenti a pensare che una finestra di dialogo non identificata o una finestra popup sia attendibile quando è effettivamente fraudolento. Quando un utente visita un sito Web dannoso, l'utente potrebbe essere reindirizzato a un sito Web attendibile. L'utente malintenzionato potrebbe quindi visualizzare una finestra sovrapposta sotto forma di finestra di dialogo che tenta un attacco di phishing. All'utente viene quindi richiesto di immettere informazioni personali in questa finestra di dialogo, che è stata aperta dal sito Web dannoso. L'utente potrebbe credere che questa finestra di dialogo sia stata aperta dal sito Web attendibile e che possa inserire informazioni personali. Tuttavia, queste informazioni vengono inviate al sito Web dannoso.
I clienti che seguono già le linee guida generali per evitare attacchi di spoofing e phishing sono a rischio ridotto di essere interessati da questo problema. Se una finestra o una finestra di dialogo specifica non dispone di una barra degli indirizzi e non dispone di un'icona di blocco che può essere usata per verificare il certificato del sito, l'utente non dispone di informazioni sufficienti su cui basare una decisione di attendibilità valida sulla finestra o sulla finestra di dialogo. Per visualizzare le indicazioni generali di Microsoft su come evitare attacchi di spoofing, visitare il sito Web Security at Home.
Continuiamo a incoraggiare i clienti a installare Windows XP SP2 e a seguire le linee guida per proteggere il PC per abilitare un firewall. Ciò include l'attivazione del Aggiornamenti automatico per ricevere gli aggiornamenti software e installare il software antivirus. Per ulteriori informazioni, visitare il sito Web Proteggi pc.
I clienti che ritengono che potrebbero essere stati interessati da questo metodo di phishing possono contattare il Servizio supporto tecnico clienti. È possibile contattare i servizi di supporto tecnico clienti in America del Nord gratuitamente usando la riga PC Cassaforte ty (1866-PCSAFETY). I clienti internazionali possono contattare il Servizio supporto tecnico clienti usando uno dei metodi disponibili disponibili nel sito Web Guida e supporto tecnico microsoft per gli utenti domestici.
Informazioni generali
Panoramica
Scopo dell'avviso: per chiarire i rischi associati alle finestre del browser senza indicazioni sulle loro origini e fornire indicazioni su come prevenire il furto di identità da truffe di phishing.
Stato avviso: avviso pubblicato, nessun aggiornamento della sicurezza pianificato.
Raccomandazione: esaminare le azioni suggerite e configurare in base alle esigenze.
| Riferimenti | Sito Web |
|---|---|
| Prevenire il furto di identità da truffe di phishing | Sicurezza nel sito Web home |
| Proteggere il PC | Proteggere il sito Web del PC |
Questo avviso si applica al software seguente.
| Software correlato |
| Internet Explorer 5.01 Service Pack 3 in Microsoft Windows 2000 Service Pack 3 |
| Internet Explorer 5.01 Service Pack 4 in Microsoft Windows 2000 Service Pack 4 |
| Internet Explorer 6 Service Pack 1 in Microsoft Windows 2000 Service Pack 3, in Microsoft Windows 2000 Service Pack 4 o in Microsoft Windows XP Service Pack 1 |
| Internet Explorer 6 per Microsoft Windows XP Service Pack 2 |
| Internet Explorer 6 Service Pack 1 per Microsoft Windows XP 64 Bit Edition Service Pack 1 (Itanium) |
| Internet Explorer 6 per Microsoft Windows Server 2003 e Microsoft Windows Server 2003 Service Pack 1 |
| Internet Explorer 6 per Microsoft Windows Server 2003 per sistemi basati su Itanium, Microsoft Windows Server 2003 con SP1 per sistemi basati su Itanium, Microsoft Windows XP 64 Bit Edition versione 2003 (Itanium), Microsoft Windows Server 2003 x64 Edition e Microsoft Windows XP Professional x64 Edition |
| Internet Explorer 5.5 Service Pack 2 in Microsoft Windows Millennium Edition |
| Internet Explorer 6 Service Pack 1 in Microsoft Windows 98, in Microsoft Windows 98 edizione Standard o in Microsoft Windows Millennium Edition |
| Internet Explorer 5.1 per Macintosh |
Nota I Web browser enumerati di seguito sono le versioni attualmente supportate di Internet Explorer. Tuttavia, questa funzionalità non è limitata a Internet Explorer, ma è comune a molti Web browser.
Domande frequenti
Qual è l'ambito dell'avviso?
Questo avviso illustra il comportamento corrente delle finestre sovrapposte provenienti da origini diverse in Internet Explorer. Questa funzionalità non è limitata a Internet Explorer, ma è comune a molti Web browser.
Che cosa causa questa situazione?
Comunemente a vari browser, tra cui Internet Explorer, è possibile avere più finestre del browser sovrapposte. Un utente malintenzionato potrebbe organizzare finestre in modo tale da ingannare gli utenti a pensare che una finestra di dialogo non identificata o una finestra popup sia attendibile quando è effettivamente fraudolento. Quando un utente visita un sito Web dannoso, l'utente potrebbe essere reindirizzato a un sito Web attendibile. L'utente malintenzionato potrebbe quindi visualizzare una finestra sovrapposta sotto forma di finestra di dialogo che tenta un attacco di phishing. All'utente viene quindi richiesto di immettere informazioni personali in questa finestra di dialogo, che è stata aperta dal sito Web dannoso. L'utente potrebbe credere che questa finestra di dialogo sia stata aperta dal sito Web attendibile e che possa inserire informazioni personali. Tuttavia, queste informazioni vengono inviate al sito Web dannoso.
Microsoft genererà un aggiornamento della sicurezza per risolvere questa minaccia?
No. Questo è un esempio del modo in cui è possibile usare la funzionalità del Web browser standard corrente nei tentativi di phishing.
Azioni suggerite
Per altre informazioni su come proteggersi online, visitare i seguenti siti Web Microsoft:
Altre informazioni
Risorse:
- È possibile fornire commenti e suggerimenti completando il modulo nel sito Web seguente.
- I clienti negli Stati Uniti e in Canada possono ricevere supporto tecnico dai servizi di supporto tecnico Microsoft. Per altre informazioni sulle opzioni di supporto disponibili, vedere il sito Web guida e supporto tecnico Microsoft.
- I clienti internazionali possono ricevere supporto dalle filiali Microsoft locali. Per altre informazioni su come contattare Microsoft per problemi di supporto internazionale, visitare il sito Web del supporto internazionale.
- Il sito Web Microsoft TechNet Security fornisce informazioni aggiuntive sulla sicurezza nei prodotti Microsoft.
Declinazione di responsabilità:
Le informazioni fornite in questo avviso vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.
Revisioni:
- 21 giugno 2005: Advisory published
Costruito al 2014-04-18T13:49:36Z-07:00