Фишеры создали поддельную страницу сайта eBay, используя в описании лотов официально разрешенный интернет-аукционом JavaScript сообщает сайт Dark Reading. Конечный вид поддельной страницы зависит от типа обращения к ней. В случае если в запросе нет специального параметра, описание аукционного лота сводится к «357473301». «Использование JavaScript и Ajax позволяет мошенникам создавать более убедительные схемы», — комментирует новый ход фишеров представитель Symantec Оливер Фридрикс (Oliver Friedrichs). Специалисты этой компании выяснили, что по запросу, содержащему параметр jsc=sig, пользователю выдается страница авторизации, полностью аналогичная оригинальной странице eBay. «Эту атаку нельзя назвать изощренной, поскольку мошенник совершил несколько глупых ошибок. Однако он легко мог сделать все гораздо лучше», — сообщил Билл Шо (Bill Shaw) — вице-президент компании TOPPSoft Computer Solutions, разработавшей eBay. «Наиболее актуальным остается вопрос, каким образом мошенники сумели внедрить свой яваскрипт в список аукционных лотов. eBay, как правило, фильтрует подобные вещи ровно по этой причине, а этому фишеру удалось обойти фильтры», — говорит Шо. «eBay позволяет пользователям включать JavaScript в списки лотов и будет делать это в дальнейшем. Мы знаем, что некоторые люди злоупотребляют этой возможностью, однако риск минимален, а преимущества JavaScript огромно», — сообщила пресс-секретарь eBay Кэтрин Инглэнд (Catherine England).
Более подробно