安全公司披露黑客新型钓鱼攻击手法,利用虚假弹窗登录页+全屏 Fullscreen API 欺骗用户
安全公司披露黑客新型钓鱼攻击手法,利用虚假弹窗登录页+全屏 Fullscreen API 欺骗用户
6月2日消息,安全公司 SquareX 发文披露了一种名为“Browser in the Middle”的新型钓鱼攻击手法,能让黑客在暗中窃取用户的账号密码等敏感信息。据介绍,“Browser in the Middle”属于中间人攻击的一种,也就是虚假的弹窗登录页(黑客山寨 Steam 等网站的登录页面,欺骗用户自己输入账号密码),目前业界主流的 Chrome、Edge、Safari 浏览器都存在设计缺陷,黑客可以利用浏览器的 Fullscreen API,将相应弹窗登录页设置为“全屏显示”,这样就能隐藏 URL,大大降低被用户发现的几率。
▲ 黑客设计的山寨 Steam 弹窗登录页面
研究人员指出,目前各大浏览器的 Fullscreen API 并未明确规定第三方网站该如何触发全屏,因此黑客可以在相应钓鱼弹窗中加入一个假的“登录”按钮,用户点击后就会被偷偷切换到全屏,进而降低用户关闭全屏查看核对 URL 的概率。
研究人员同时表示,苹果 Safari 浏览器风险最高,这是因为 Safari 在切换到网页全屏模式时不会显示任何提示。而基于 Chromium 内核的浏览器(如谷歌 Chrome、微软 Edge)虽然会弹出提示,但也只会短暂显示几秒,用户难以注意到。
▲ 黑客利用 Fullscreen API 让钓鱼登录页变成全屏,进一步增加用户自己输入账号密码的可能性
免责声明:
本站提供的一切内容信息、软件、教程、影音仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络收集整理,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。如果您喜欢该程序和内容,请支持正版,购买注册,得到更好的正版服务。我们非常重视版权问题,如有侵权请邮件与我们联系处理。敬请谅解!
上一篇:Switch 2 让黑客束手无策?消息称尝试破解会使其“变砖”
下一篇:返回列表
