浏览器之家


用假冒浏览器标签进行新式钓鱼攻击

最近发现的一款新式钓鱼手法实在太过于非主流,以致没有人知道该如何称呼它。我们就暂时叫它做“浏览器标签挟持(国外tabnapping译)”,这手法利用Javascript来侦测已开启但目前未被浏览的标签。然后将该页面改造成和原始网页很类似的假页面。

  

用假冒浏览器标签进行新式钓鱼攻击



  受害者在开启多个浏览标签,分别浏览了几个网页后,假如又想再度浏览之前看过的标签,一不小心就点击了假网站,因为看到的是熟悉的偏爱图标,网页标题及内容,一般不会怀疑而依照显示重新登录资料登入。在此刻,钓客就捕捉到受害者的真实登入资料。当资料到手后,受害者会被重新导回去原始网页里面,一切像是没发生一样。

  举例来说,假设你是Gmail的使用者。你开了一个标签来进入Gmail,一个标签到新闻网页,以及一个标签到刚好是受感染的网站。你浏览新闻网站,没发现受感染的网站已变形为看来像是Gmail的登录网页。当你展开受感染网站的标签时,你以为自己只是为要求登入到Gmail中。你输入了登入资料,钓客取得了你的资料然后再将你从新连接回真的Gmail中,而你能登入的原因是你已经在第三个标签这边登入到真的Gmail中了。

  听得云里雾里,对吧?

  重点在于:当你在多重标签间工作时,留意你进到哪里了。当你被要求输入进入帐户时,即使是知名的电子邮件或其它服务网站,花一点时间回想你是否已经登入。阅读此吓人的新钓鱼手法细节,并随时留意eNet安全频道随时为网友提供的漏洞案例。

评论

没安装畅言模块