Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 4/9/2012
Svindlere kan udnytte en funktion i browsere til at vise en falsk login-side, der ikke ligger på et websted.Den norske sikkerhedsforsker Henning Klevjer har udarbejdet et eksempel på, hvordan såkaldte data-URI'er kan bruges til phishing-svindel.
En URI (Uniform Resource Identifier) er en adresse til information på nettet. En webadresse (URL) er et eksempel på en URI. Men man kan også lave URI'er, der i sig selv indeholder data.
Henning Klevjer har opdaget, at man på den måde kan indlejre en hel webside i en URI. Dermed slipper phishing-svindlere for at skulle finde et websted, hvor de kan placere deres falske sider.
Metoden kan kombineres med linkforkortertjenester. Så skal svindleren blot narre sit offer til at klikke på et forkortet link, hvorefter den falske side vises i browseren.
I en artikel skriver Henning Klevjer, at Internet Explorer har indbyggede begrænsninger i brugen af data-URI'er.
Hvis man anvender sikkerhedsudvidelsen NoScript til Firefox, forhindrer den, at data-URI'er vises.
Man kan kende en webside, der har form som en data-URI, på, at URL'en begynder med teksten "data:" og som regel er meget lang.
Anbefaling
Brug information i adresselinjen til at vurdere, om en webside er pålidelig.