一些黑客利用浏览器选项卡发起钓鱼攻击。Firefox、IE以及其他主流浏览器均受威胁。
Tabnapping是最新的钓鱼攻击技术,由Mozilla创意领导阿扎. 拉斯金(Aza Raskin)发现。此外,该攻击手段影响Windows 和 Mac OS X上所有主流浏览器。
当用户打开多个选项卡时,一旦用户访问了某个恶意网站或被入侵的网站,攻击者就可以攻击用户打开的网站,从而发起钓鱼攻击。
拉斯金在博客里这么说道:当用户打开另一个选项卡,然后返回到博客选项卡,就会发现博客页面已被改成另一个仿冒的博客登陆页面。
使用CSS历史查看工具可以检测到用户正在访问的网站,然后进行攻击。例如,你可以检测用户是否在登陆Facebook、Citibank或者Twitter等,然后,攻击者就可以把用户访问页面改为相应的仿冒登陆页面。
此外,攻击者有多种方法来查看用户目前正登陆的服务,比如,图片下载时间攻击等等。当然,为了使攻击更有效,攻击者可以加上这么一段提示:您登陆的页面已超时,请重新登陆。银行网站经常会有这样的提示,因此更容易遭受钓鱼攻击。
微软安全响应中心的小组经理杰里.拉斯金(Jerry Bryant)说,用户输入个人信息之前,必须检查”锁定”图标是否在地址栏里,此外,还须检查网站的URL地址是否正确。IE8的SmartScreen过滤器能够检测那些可疑和已知的钓鱼网站,因此,IE8.0能够减轻钓鱼攻击。
拉斯金指出,Mozilla正致力于开发防钓鱼攻击技术,并将在下一版本的Firefox浏览器发布。
拉斯金建议,目前,用户名和密码并不可靠,不能提供安全的验证方法。因此,浏览器将在用户安全保障中担任重要的角色。浏览器可以保证用户证书的安全,可以保护用户的信息,验证用户的身份等等。