Злоумышленники использовали XSS уязвимость для похищения номеров кредитных карт и другой личной информации пользователей PayPal, сообщает netcraft.com. Обман работал весьма убедительно; люди посылались на URL, находящийся на подлинном сайте PayPal. Ссылка работала по SSL протоколу и использовала реальный 256-битный SSL сертификат, что не вызывало сомнений в его принадлежности к PayPal. Однако, часть этой страницы была изменена засчет XSS уязвимости, так что когда жертва попадала на нее, видела сообщение: "Your account is currently disabled because we think it has been accessed by a third party. You will now be redirected to Resolution Center." ("Ваш счет в настоящее время заблокирован, поскольку мы думаем, что к нему получил доступ кто-то постороний. Вы будете перемещены в Resolution Center"). После чего пользователь перенаправлялся на постороний сервер, где он вводил свой логин и пароль, которые успешно попадали в руки фишеров.
источник: http://news.netcraft.com/archives/2006/06/...tity_theft.html
источник: http://news.netcraft.com/archives/2006/06/...tity_theft.html