Als je bent zoals de meeste mensen, vertrouw je op browser autofill om irritante webformulieren te voltooien. Browser "autofill" vult automatisch uw informatie in velden in webformulieren op basis van informatie die u eerder in deze velden had ingevoerd.

Het slechte nieuws is dat kwaadwillende derden en black-hat hackers deze functie voor automatisch aanvullen in browsers kunnen gebruiken om u te misleiden en uw gevoelige informatie weg te geven. Een white-hat hacker uit Finland, Viljami Kuosmanen, die ook een webontwikkelaar is, liet in zijn GitHub-demo zien dat aanvallers de functie voor automatisch aanvullen konden kapen in plug-ins, wachtwoordmanagers (en dergelijke tools) en browsers.

Lang vóór Kuosmanen had de veiligheidsanalist van ElevenPath, Ricardo Martin Rodriguez, in 2013 de kwetsbaarheid van de browser voor autofill ontdekt. ​​Tot nu toe heeft Google nog geen oplossing voor dit beveiligingslek gevonden.

Onbewust uw gevoelige informatie morsen

Op de proof-of-concept demo-website van Kuosmanen ziet u een eenvoudig webformulier dat uit slechts twee velden bestaat: naam en e-mailadres. De vorm heeft daar echter veel verborgen (dwz uit het zicht) velden; deze verborgen velden omvatten adres, organisatie, telefoonnummer, stad, postcode en land.

In een formulier zoals hierboven, zou u alleen de naam- en e-mailvelden zien, maar uw functie voor automatisch invullen zou uw gegevens automatisch invullen in de resterende velden. Een phishingwebformulier zoals hierboven zou meer informatie hebben verzameld dan u weet wanneer u op de knop Verzenden klikt.

Om de functies voor automatisch aanvullen van uw browser en extensie te testen, kunt u de proof-of-concept-site gebruiken die Kuosmanen had ingesteld. Bij het indienen van het formulier merkte ik dat het meer informatie had gepakt dan ik gaf. Ik gebruikte de nieuwste Mozilla Firefox voor deze test en was verbaasd over de hoeveelheid informatie die ik heb gemorst.

In Chrome-autovullende financiële gegevens wordt een waarschuwing gegenereerd voor websites zonder HTTPS. In mijn ervaring probeerde het formulier van Kuosmanen de datum te verzamelen waarop ik het formulier, mijn adres, mijn creditcardnummer, CVV, de vervaldatum van mijn creditcard, mijn stad, land, e-mail, naam, organisatie, telefoon en postcode vulde.

Het formulier probeerde zelfs enkele metadata te verzamelen over mijn browsertype, mijn huidige IP-adres en meer. Zie mijn screenshot hieronder.

Apple Safari, Google Chrome en Opera waren allemaal kwetsbaar tijdens een Kuosmanen-aanvalstest.

In januari 2017 zei Daniel Veditz, Mozilla's belangrijkste beveiligingsingenieur, dat Firefox-browsers niet kunnen worden misleid om tekstvakken programmatisch in te vullen. Firefox-gebruikers zijn veilig voor aanvallen met autofill van de browser (in ieder geval voorlopig), omdat de browser geen multi-box autofill-systeem heeft. Mozilla's Firefox-browser verplicht gebruikers om handmatig voorgevulde gegevens te selecteren voor elk tekstvak in een webformulier.

Conclusie: schakel de autofill-functie van je browser uit

De gemakkelijkste voorzorgsmaatregel om tegen phishing-aanvallen op te nemen, is door de functie Automatisch aanvullen van formulieren in uw browser, extensie-instellingen of wachtwoordbeheer uit te schakelen. De functie voor automatisch aanvullen van je browser is standaard ingeschakeld.

Automatisch aanvullen uitschakelen in Chrome:

1. Ga naar de instellingen van de browser.

2. Zoek "Geavanceerde instellingen" onderaan de pagina.

3. Schakel in het gebied "Wachtwoorden en formulieren" het vinkje bij "Automatisch aanvullen inschakelen" uit.

Automatisch aanvullen uitschakelen in Opera:

1. Ga naar Instellingen.

2. Ga naar "Automatisch aanvullen" en schakel het uit.

Automatisch aanvullen uitschakelen in Safari:

1. Ga naar 'Voorkeuren'.

2. Klik op "Automatisch aanvullen" om het uit te schakelen.

Als u dit bericht nuttig vindt, klikt u hieronder op "Ja". We zullen ook graag uw opmerkingen zien.