Mozilla的用户界面专家已经发现了一种新型的钓鱼手法,黑客将浏览器标签变形,诱骗用户输入(邮箱、网银等)登录信息。
传统的网络钓鱼一般会诱骗用户直接访问一个恶意网页,比如假冒的网上银行登录页面,这样就可以搜集用户网银的信息。
Mozilla Firefox的领导人Aza Raskin周一在博客中表示,这项新技术,被称为“tabnapping”或者“tabjacking”(标签钓鱼),这会让用户看起来访问的是一个真实合法的网站。
Raskin表示,如果用户在浏览器中离开了当前页面,并且打开了一个新标签,那么,恶意标签就会改变它自己,伪装成为一个合法的可信任站点。恶意站点改变了标签上显示的标题以及网站图标,而其他都没有变化。Raskin同时还演示了一个假冒的Gmail登录页面。
Raskin说,随后,用户切换回假冒的标签中,误以为这是一个值得信任的站点,不假思索的输入了用户名和密码。
该攻击能够得以实施,很大程度上得益于用户对待安全不够认真。比如,在遭受攻击时候没有发现浏览器的URL地址发生了变化。根据研究报告显示,本次攻击主要针对Firefox、IE以及Google Chrome等流行的浏览器。
Raskin表示,钓鱼攻击实施者可以使用以前常用的技术,发现哪些被信任的网站是用户会频繁访问的,比如银行或者一些特殊网页。
Raskin说,“使用CSS历史记录器,检测到哪些网站被用户访问,然后发动攻击,黑客可以检测出访问者是否拥有一个Facebook帐户,或者是否是花旗银行的客户,他是否拥有Twitter账号等等,然后,使用一个伪造的页面来欺骗用户。”
他表示,攻击者制造了一个页面,提示用户一些错误信息,比如“会话已经超时,请重新登录”之类的话,“这确实常常发生在银行网站上,所以黑客利用这点能够更容易的进行攻击。”
Raskin描述的攻击依赖于Javascript,在浏览器加载项中禁用脚本将能够抵御此类攻击。不过,研究人员Avi Raff发现了一种新版本的攻击,即使禁用了脚本,也能够触发。
网络钓鱼仍然是一个不断增长的威胁,恶意网址链接通过email以及Twitter这样的SNS网站来大量传播,Twitter在3月推出了一项旨在阻止恶意链接欺骗用户的SNS网站的恶意链接。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
人为错误会带来重大云安全风险
黑客总是在IT系统中寻找漏洞,企业一直在警惕防备。虽然有许多工具可以帮助保护数据和检测威胁,但这些工具都存在云 […]
-
Adobe为针对外事部门攻击的漏洞发紧急补丁
近几个月来,Adobe Flash零日漏洞时有出现,最新修补的漏洞已被用于盯准外事部门进行的攻击,该攻击通过网络钓鱼的形式展开,被称为“Operation Pawn Storm”。
-
XcodeGhost继续炸锅:39种应用遭感染什么的也是够了
研究机构发报告揭示中国用户广泛使用的iOS应用受到XcodeGhost恶意软件的感染,利用者可通过其窃取用户数据,甚至能通过网络钓鱼的方式获取用户的用户名和密码。
-
宏恶意软件卷土重来 企业如何抵挡?
攻击者正越来越多地使用宏恶意软件来进行网络钓鱼攻击,在本文中,Nick Lewis探讨了如何有效抵御这种新版本的旧威胁。