Nową technikę phishingową nazwano „in-session”. Wymaga ona, aby ofiara zalogowała się wpierw do bezpiecznej witryny – np. serwisu internetowego banku. Uwierzytelniony użytkownik robi wszystko to, co zwykle robi się w internetowym banku – przelewy, sprawdzanie stanu kont, obciążeń kart itp. Jednak w dzisiejszych czasach rzadko kiedy mamy otwartą tylko jedną kartę przeglądarki – zwykle jesteśmy wielozadaniowi, przełączając się pomiędzy różnymi witrynami. To właśnie wykorzystują atakujący.

Gdy w jednej karcie pozostaje otwarta sesja połączenia z bankiem, a surfujący po Sieci w innej karcie użytkownik trafi na witrynę, w którą wstrzyknięto wrogi kod JavaScriptu, rozpoczyna się atak. Użytkownik widzi wyskakujące okienko, wyglądające tak, jakby było otwarte przez sesję banku. W okienku widać komunikat informujący, że sesja połączenia z bankiem wygasła i należy wprowadzić dane logowania, aby ponowić połączenie. Wygląda to na tyle autentycznie (i sensownie – ostatecznie sesje banków wygasają), że wielu użytkowników robi to, co im nakazano. To, gdzie trafiają wówczas nasze dane, jest już oczywiste.

Specjaliści z Trusteera podkreślają, że aby atak zadziałał, muszą być spełnione dwa warunki. Po pierwsze, konieczne jest zarażenie (zwykle atakiem typu SQL Injection) jakiejś znanej i popularnej witryny, po drugie wrogi kod musi być w stanie ustalić, czy użytkownik zalogował się do witryny, do której dane logowania phisherzy chcieliby wykraść. Można zatem powiedzieć, że atakujący muszą się zmieścić w wąskim przedziale czasu, by się im powiodło. Jeśli jednak za swój cel wybiorą wystarczająco popularne serwisy, niemal pewne jest, że przechwycą w ten sposób niemało loginów i haseł.

Winą za możliwość takiego ataku dyrektor techniczny Trusteera Amit Klein obarcza podatność w engine JavaScriptu we wszystkich popularnych przeglądarkach – Firefoksie, Internet Explorerze, Safari i Chrome. Kiedy wywoła się pewną funkcję JS, pozostawia ona tymczasowy ślad w komputerze i każda inna witryna może ten ślad zidentyfikować. W ten sposób z poziomu jednej witryny można wyśledzić, które inne witryny są w danym czasie oglądane przez internautę. Przykład takiego zagrożenia dla prywatności, od dość już dawna zresztą znanego, został opublikowany na stronie ha.ckers.org/blog/20061108/detecting-states-of-authentication-with-protected-images/.

Co zatem robić? Badacze z Trusteera zalecają paranoję. Nie należy ufać jakimkolwiek wyskakującym okienkom, nie należy otwierać stron bankowych w połączeniu z jakimikolwiek innymi witrynami – a najlepiej przeznaczyć do korzystania z banków i innych związanych z finansami witryn oddzielną przeglądarkę.