Discussione Domanda Completamento automatico nei siti di phishing

Cruise

Utente Emerald
20 Marzo 2016
648
162
55
415
Volevo parlare di una mi curiosità personale a riguardo dei portali linkati nelle e-mail di phishing, vorrei sapere se oltre alla clonazione del sito in tutte le sue parti, riuscirebbero a ricostruirne il completamente automatico, nel senso di ritrovarmela tendina con il suggerimento PSW, se no, sarebbe un primo campanello di allarme per riconoscere il sito fake.. Il browser non dovrebbe inserire nel campi di testo le login e psw...
 
Il servizio di completamento automatico dei campi è offerto dal browser e si basa sui tipi e nomi dei campi e non sul dominio stesso, solo le password sono salvate per sito, invece mail, username, indirizzi eccetera possono essere suggeriti anche su siti che non avevi mai visitato prima. Basta creare un elemento come <input name="email" autocomplete="on" /> dentro un form.

Comunque non è un problema perché anche se hai dei suggerimenti sul sito di phishing il sito non può leggerli, almeno finché non fai click su uno.
 
Quindi e possibile ritrovarsi il suggerimento della stessa pagina autentica sulla fake.... Ammazza, pensavo che dovevo completarle a mano... bisogna stare sempre allerta, grazie...
 
Quindi e possibile ritrovarsi il suggerimento della stessa pagina autentica sulla fake.... Ammazza, pensavo che dovevo completarle a mano... bisogna stare sempre allerta, grazie...
Appunto come detto da junk è una funzione del tuo browser, non del sito , per altro alcuni antivirus come avira permettono la gestione di questa funzione di autocompletamento , con maggiore protezione ( ma non totale ) verso situazioni del genere.

Il problema sui siti di phishing sorge nel momento in cui inserisci le tue credenziali e lanci il log-in.
 
Appunto come detto da junk è una funzione del tuo browser, non del sito , per altro alcuni antivirus come avira permettono la gestione di questa funzione di autocompletamento , con maggiore protezione ( ma non totale ) verso situazioni del genere.

Il problema sui siti di phishing sorge nel momento in cui inserisci le tue credenziali e lanci il log-in.
Quelli sono i siti di phishing delle simulazioni, nei siti di phishing reali non dovresti scrivere proprio niente a meno che non vuoi trollare l'attaccante. Infatti è possibile creare una funzione di keylogging che invia al server dell'attaccante le credenziali anche senza cliccare su "login"
 
si io mi aggrappo all'intuito di analizzare sempre l'url, ti salva la vita, e adesso sono arrivato al punto di non fidarmi piu di SMS con link di poste banche ecc.... BASTA!
 
Un aiuto potrebbe darlo un buon password manager come KeePass XC (vedi discussione) grazie al componente aggiuntivo da installare nel browser KeePass effettuerà l'auto-fill dei campi solo sul sito legittimo, in ogni caso è bene stare sempre in guardia, la prudenza non è mai troppa!
 
Diffida dei portachiavi in Cloud.
Non in questo caso:
Your passwords remain encrypted at all times and no data is stored on remote servers, so you stay in full control of your data. No cloud, no ads, no subscriptions.
Io gestisco tutto su database criptato offline.