Sampo Pankin sivut avoinna kalastelijoille
Palvelimen verkkopankki.sampopankki.fi:n järjestelmä sallii käyttäjän lähettää sivulle url-pyyntöjä, joissa on mukana javascript-koodia. Tuo koodi päätyy suoritettavaksi sivun kontekstissa.
Sähköpostissa kiertävä ajettava koodi on "alert('fail')", joka tulostaa varoitusikkunan.
Asiantuntijan mukaan koodi voisi tehdä paljon muutakin, melkein mitä tahansa.
– Se voisi ladata näytölle phishing-sivuston, joka kyselisi käyttäjän luottokortin numeroa ja lähettäisi sen vorolle.
Tilanteessa on erittäin ongelmallista se, että käyttäjälle sivu siis näyttäisi luotetulta eli ssl-suojatulta sivulta, jonka verkko-osoite eli url alkaisi "verkkopankki.sampopankki.fi".













