安全公司披露黑客新型釣魚攻擊手法,利用虛假彈窗登錄頁 + 全屏 Fullscreen API 欺騙用戶
IT之家 6 月 2 日消息,安全公司 SquareX 發文披露了一種名為“Browser in the Middle”的新型釣魚攻擊手法,能讓黑客在暗中竊取用戶的賬號密碼等敏感信息。
據介紹,“Browser in the Middle”屬于中間人攻擊的一種,也就是虛假的彈窗登錄頁(黑客山寨 Steam 等網站的登錄頁面,欺騙用戶自己輸入賬號密碼),目前業界主流的 Chrome、Edge、Safari 瀏覽器都存在設計缺陷,黑客可以利用瀏覽器的 Fullscreen API,將相應彈窗登錄頁設置為“全屏顯示”,這樣就能隱藏 URL,大大降低被用戶發現的幾率。
▲ 黑客設計的山寨 Steam 彈窗登錄頁面
研究人員指出,目前各大瀏覽器的 Fullscreen API 并未明確規定第三方網站該如何觸發全屏,因此黑客可以在相應釣魚彈窗中加入一個假的“登錄”按鈕,用戶點擊后就會被偷偷切換到全屏,進而降低用戶關閉全屏查看核對 URL 的概率。
研究人員同時表示,蘋果 Safari 瀏覽器風險最高,這是因為 Safari 在切換到網頁全屏模式時不會顯示任何提示。而基于 Chromium 內核的瀏覽器(如谷歌 Chrome、微軟 Edge)雖然會彈出提示,但也只會短暫顯示幾秒,用戶難以注意到。
▲ 黑客利用 Fullscreen API 讓釣魚登錄頁變成全屏,進一步增加用戶自己輸入賬號密碼的可能性來源:IT之家
