Hvis du er som de fleste, stoler du på autofyll på nettleseren for å fullføre irriterende webskjemaer. Browser "autofyll" fyller automatisk informasjonen din i felt i webskjemaer basert på informasjon du tidligere har skrevet inn i disse feltene.

Den dårlige nyheten er at ondsinnede tredjeparter og hackere med svarthatt kan bruke denne autofyllfunksjonen i nettlesere for å lure deg til å gi bort din sensitive informasjon. En hvithatt hacker fra Finland, Viljami Kuosmanen, som også er en webutvikler, viste i sin GitHub-demo at angriperne kunne kapre autofyllingsfunksjonen i plugins, passordforvaltere (og slike verktøy) og nettlesere.

Litt før Kuosmanen, ElevenPaths sikkerhetsanalytiker, Ricardo Martin Rodriguez, hadde oppdaget sikkerhetsproblemet for nettleseren i 2013. Så langt har Google ikke funnet en løsning på dette sikkerhetsproblemet.

Spiller din sensitive informasjon uvitende

På Kuosmanens bevis-of-concept demo nettsted ser du et enkelt nettskjema som består av bare to felt - navn og e-postadresse. Imidlertid har skjemaet mange skjulte felt (dvs. ute av syne) der; Disse skjulte feltene inkluderer adresse, organisasjon, telefonnummer, by, postnummer og land.

I et skjema som det ovenfor, vil du bare se navn og e-postfelt, men autofyllfunksjonen fyller automatisk inn dine opplysninger i de gjenværende feltene. Et phishing-nettskjema som det som er nevnt ovenfor, ville ha samlet mer informasjon enn du er klar over når du klikker på Send-knappen.

For å teste din nettleser og autofyllfunksjoner for utvidelser, kan du bruke det proof-of-concept-nettstedet Kuosmanen hadde satt opp. Ved innsending av skjemaet la jeg merke til at det hadde tatt mer informasjon enn jeg ga. Jeg brukte den nyeste Mozilla Firefox for denne testen og ble overrasket over hvor mye informasjon jeg spildte ut.

I Chrome utløser finansielle data økonomiske advarsler for nettsteder uten HTTPS. I min erfaring forsøkte Kuosmanens skjema å samle datoen jeg fylte ut skjemaet, adressen min, kredittkortnummeret mitt, CVV, utløpsdato for kredittkort, min by, land, e-post, navn, organisasjon, telefon og postnummer.

Skjemaet prøvde selv å samle noen metadata på nettlesertypen, min nåværende IP-adresse og mer. Se min skjermbilde nedenfor.

Apple Safari, Google Chrome og Opera var alle sårbare under en Kuosmanen-angrepstest.

I januar 2017 sa Daniel Veditz, Mozillas viktigste sikkerhetsingeniør, at Firefox-nettlesere ikke kan bli lurt til programmatisk utfylling av tekstbokser. Firefox-brukere er trygge fra autofyll-angrep på nettleseren (minst for øyeblikket), da nettleseren ikke har et flerfelt autofyllsystem. Mozilla Firefox-nettleser gjør det obligatorisk for brukerne å manuelt velge ferdigfylte data for hver tekstboks i et webskjema.

Konklusjon: Slå av din autofyllfunksjon for nettleseren

Den enkleste forholdsregelen for å ta imot phishing-angrep er å slå av autofyllfunksjonen i nettleseren din, utvidelsesinnstillinger eller passordbehandling. Din autofyllfunksjon for nettleseren er som standard slått på.

Slik aktiverer du autofyll i Chrome:

1. Gå til nettleserens "Innstillinger".

2. Finn "Avanserte innstillinger" nederst på siden.

3. Fjern markeringen i "Aktiver autofyll" i området "Passord og skjemaer".

For å slå autofyll av i Opera:

1. Gå til Innstillinger.

2. Gå til "Autofyll" og slå den av.

Slik aktiverer du autofyll i Safari:

1. Gå til "Innstillinger."

2. Klikk på "Autofyll" for å slå av den.

Hvis du fant dette innlegget nyttig, klikk "Ja" nedenfor. Vi vil gjerne se dine kommentarer også.