Qualche tempo fa sono state rubate alcune identità (user e pasword) da youtube, perchè è stato oggetto di un attacco CSRF.
Ma cos'è questo tipo di attacco?
Il sistema si basa sulla fiducia di un sito web verso un particolare utente.
Per capirlo meglio vediamo un esempio.
Supponiamo che un utente che chiameremo Mario vada in un forum o blog. Nello stesso forum un utente malizioso che chiameremo Giulio ha pubblicato un immagine con un link del tipo: www.latuabanca.it/faibonifico.php.
Quando Giulio carica la pagina, si carica anche il link in maniera remota, senza che Giulio sia a conoscenza di quello che sta facendo.
Se Giulio ha spuntato sul sito della sua banca (che Mario deve conoscere) di ricordare l'accesso, quindi tramite cookie, l'operazione viene eseguita senza richiedere l'autorizzazione a Giulio.
In questo modo è avvenuta una transazione bancaria senza che Giulio fosse minimamente cosciente del fatto.
E' chiaro che questo richiede alcune situazioni al contorno, che normalmente non ci sono:
E' chiaro però che se queste condizioni sono raggiunte la frode va in porto.
Autore: Federico Bernardin Categoria: Generici