Avete presente la funzione di compilazione automatica presente in alcuni browser come Chome, Opera e Safari? Quella funzione che, quando lo desideriamo, compila in automatico i form presenti in una pagina, risparmiando nello scrivere ogni singolo field?
Ebbene, questa funzionalità può esser usate per un attacco phishing. Il ricercatore finlandese Viljami Kuosmanen ha pubblicato una demo che mostra come questo tipo di attacco può esser veicolato.
Nella demo, ad esempio, vediamo solo due form da compilare con scritto NOME e Indirizzo EMAIL: se utilizziamo la funzione di compilazione automatica dei form potranno esser riempiti, oltre a questi due form visibili, anche altri form come Città, residenza, numero di telefono e anche numero della carta di credito ecc che non visibili all’utente (questo in una ipotetica pagina creata ad hoc da criminali per rubare i nostri dati).
Come stare al sicuro?
Questa funzionalità è attiva come impostazioni predefinita in Chrome e Opera, è possibile disattivarla andando in Impostazioni > Mostra impostazioni avanzate > Password e Moduli > togliere la spunta dalla voce “Attiva la compilazione automatica per compilare i moduli web con un singolo click“
Per Opera la voce si trova sotto Impostazioni > Sicurezza e Privacy > Autocompletamento > togliere la spunta da “Abilita l’auto-completamento moduli web nei siti web”
Ulteriori informazioni inerenti questa funzione si possono trovare qui:
Compilare automaticamente i moduli utilizzando Chrome – Computer – Guida di Google Chrome
Fonte: Bleepingcomputer.com