هیکرز د بھاپ حسابونو غلا لپاره فشینګ سایټ رامینځته کوي

د یونا ویز میسز ، د ویډیو لوبې څیړونکو د "اختراع" فشینګ تخنیک وموند (سپوټ کول) چې د سکیمرانو ارادې ماسک کولو خورا ښه دنده ترسره کوي.

د ویډیو لوبو لپاره د نړۍ ترټولو لوی ډیجیټل توزیع کولو پلیټ فارمونو په توګه ، بھاپ د ټولنې UX عناصر ډیری ب featuresه کوي ، لکه د ملګري لیستونه او د نورو کاروونکو سره د لوبو توکو تبادله کولو وړتیا.

پداسې حال کې چې په ټولنه کې دې قوي تمرکز د بھاپ سره مرسته کوي چې په ګ increasinglyه ګو crowdه بازار کې ودریږي ، دا کار کونکي د ګمراه کونې کړنو ته هم پریږدي.

په پلیټ فارم کې د نظارت اړتیا بیا د اونۍ په جریان کې خبرداری ورکړل شوی و ، کله د A اوروم by په نوم د کمپیوټر ساینس یو 22 کلن زده کونکی د بھاپ لپاره د نوي فشینګ درغلیو جزیات چمتو کړل.

د بھاپ حسابونو غلا کولو لپاره یوه ویب پا .ه

د څیړونکي په وینا ، د فاشینګ سایټ نه یوازې هڅه وکړه چې د باوري ایس ایس ایل سند سره کارنان غولوي ، بلکه د جاواسکریپټ یوه کوچنۍ ټوټه هم کوم چې به د پاپ اپ کړکۍ رامینځته کړي چې دا په ګوته کوي چې سرور خورا ډیر دروند شوی و او د قرباني څخه یې د دوی د بھاپ حساب سره ننوتل غوښتنه کوي. سایټ ته د لاسرسي لپاره.

د اورم په ټکو کې هغه تشریح کوي چې څنګه یې هغه درک کړی:

"چیٹ مستقیم بریښي ، سکیمر غوښتل چې ما ته ښکاره ګټه ګټور تجارت راکړي (دوی ما هڅه کوله چې ما د هغوی لپاره د کوم دلیل لپاره ډسکارډ کې اضافه کړي).

د "سوداګرۍ" خبرو اترو پای ته نږدې ، له ما څخه غوښتل شوي و چې د مناسب بھاپ نرخونو ویب پا ontoې ته لاګ ان شي ترڅو دوی وکولی شي خبرتیا ترلاسه کړي چې زما د توکو ارزښت څومره دی.

د فشینګ سایټ ، https://tradeit.cash. ویب پا .ه په لازمي ډول د یو قانوني بھاپ ویب پا ،ې ، https://skins.cash کاپي وه. "

که څه هم سکیمرانو یو مشروع لیدل شوی پاپ اپ رامینځته کړ، اوروم وموندله چې دا په ټاسک بار کې د کروم دوه مثالونو پایله نه درلوده ، او دا چې دا د "فشینګ ویب پا withinه کې یوازې یوه کړکۍ وه."

"دوی حتی د کروم UI عناصرو لپاره ځینې ت buttۍ رامینځته کړې وې ،" هغه وویل. "دا تایید شوه کله چې د پاپ اپ کړکۍ سرلیک پټې ساحه کې ښي کلیک کولو هڅه کوله ، کوم چې د ویب پا ofې ښیې کلیک شرایط مینو پرانیست."

هیکرانو په کلاوډ فیر کې د دوی فشینګ سایټ کوربه کولو لپاره وخت او "پریشاني" واخیستې او حتی یې د امکان تر حده د اعتبار وړ کولو لپاره د کلاوډ فیر SSL سند کارولو لپاره غوره کړه.

فشینګ د یوې پاپ اپ سره پیل شو چې تاسو څخه یې سټیف ته د ننوتلو غوښتنه وکړه ، ادعا کوي چې د "فشنګ" سایټ ډیر شوی.

د جعلي ویب پا Aboutې په اړه

د بھاپ فشینګ سایټ د عکس کې د فشینګ تخنیک کارول شوی د ناکامیو پرته د OpenID ننوتل سکرین تقلید کول.

اوروم احساس وکړ چې یو څه غلط و ، ځکه چې هغه سایټ چې هغه د پیل څخه جعلي ګ toي د اوپن آیډ سټیم ننوتل پاپ اپ یې پرانيست.

د دې طبیعت بریدونه یقینا نوي ندي. ورته سند په 2007 کې د دې سند کې تشریح شوی.

بھاپ لا دمخه یو مفصل لارښود شامل کړی دی چې هدف یې د کاروونکو سره د دوی حسابونه خوندي ساتلو کې مرسته کول دي.

دا سایټ اوس مهال نیل دی ځکه چې د DNS ریکارډ نږدې یو څو ساعته دمخه لرې شوی و.

خو یو کارونکي د سایټ او ټول کوډ عکس له مینځه وړلو دمخه ترلاسه کړ، او په GitHub کې یې د شریکولو ازادي ترلاسه کړه. لینک دا دی.

دا په آخر کې خورا ساده کوډ دی.

هیکرز د قانوني سوداګریز سایټ کاپي او همدارنګه د سټیم ټولنې ننوتل پا pageه کاپي کړې ، بیا یې د جاواسکریپټ کوډ دواړه ته اضافه کړی ، په بیله بیا HTML یو څه ټیک کول.

په مجموع کې ، د JS سنیپټونه اضافه شوي: لومړی کشف کوي جوړونکي (هغه څه چې اصلي بلاګ پوسټ موندلی) ، دویم جعلي براوزر خلاصوي او د جعلي ننوتنې پا pageه د افرایم دننه ځړوي ، او دریم (کوم چې په iframe باندې چلیږي) د سټیپ لاګین کاپي شوي پا theې څخه اسناد راټولوي.