本站6月2日消息,近日,安全公司SquareX發文披露了一種名為“Browser in the Middle”的新型釣魚攻擊手法,能讓黑客在暗中竊取用戶的賬號密碼等敏感信息。
據介紹,“Browser in the Middle”屬于中間人攻擊的一種,該手法通過偽造彈窗登錄頁,誘使用戶輸入賬號密碼,從而竊取敏感信息。
目前業界主流的Chrome、Edge、Safari瀏覽器都存在設計缺陷,黑客可以利用瀏覽器的Fullscreen API,將相應彈窗登錄頁設置為“全屏顯示”,這樣就能隱藏URL,增加欺騙性。
研究人員指出,目前各大瀏覽器的Fullscreen API并未明確規定第三方網站該如何觸發全屏,因此黑客可以在相應釣魚彈窗中加入一個假的“登錄”按鈕。
用戶在點擊后就會被偷偷切換到全屏,進而降低用戶關閉全屏查看核對URL的概率。
研究人員還指出,蘋果Safari瀏覽器風險最高,因其全屏切換無提示。
而Chromium內核瀏覽器(如Chrome、Edge)雖有短暫提示,但也只會短暫顯示幾秒,用戶難以注意到。
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播更多信息之目的,如作者信息標記有誤,請第一時間聯系我們修改或刪除,多謝。
