Virtuele keyboards geen oplossing voor keyloggers
Sommige banken gebruiken "virtuele keyboards" voor het authenticeren van gebruikers. Op deze manier moet voorkomen worden dat keyloggers gebruikersnamen en wachtwoorden stelen. Het virtuele keyboard blijft zinloos te zijn als oplossing tegen dit soort malware, zo heeft een onderzoeker ontdekt.
Volgens Lance James voorkomen de meeste virtuele keyboards geen "form grabbing" en "session riding", terwijl veel malware dit juist gebruikt voor het stelen van vertrouwelijke informatie. James merkt zelfs op dat de meeste malware juist helemaal geen toetsaanslagen logt.
Bij form grabbing wordt ingevulde informatie (POST) in de webclient (IE of Firefox) gestolen als die zich aanmeldt op een banksite. Virtuele keyboards en "scramble pads" zijn dan ook geen goede bescherming tegen de meeste phishing malware die vandaag de dag beschikbaar is.
Carlo Seddaiu
www.pragmasec.com
Ik wist niet dat je religieus was...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
