在線釣魚:網(wǎng)絡(luò)釣魚新形式
網(wǎng)絡(luò)釣魚作為網(wǎng)絡(luò)安全的第一大危害,已經(jīng)到了老鼠過街人人喊打的地步。無數(shù)的用戶和安全產(chǎn)品廠商利用各種技術(shù),試圖進(jìn)行封殺。但就在戰(zhàn)爭進(jìn)行的水深火熱的地步時(shí),一種新型的網(wǎng)絡(luò)釣魚技術(shù):在線釣魚又亮出了它的殺機(jī)。
安全廠商Trusteer的研究人員表示,近日黑客利用所有主流瀏覽器中存在的一個(gè)漏洞發(fā)起新型攻擊,被稱為“在線釣魚攻擊(in-session phishing)”,這種攻擊能夠幫助黑客輕而易舉地竊取網(wǎng)上銀行電子證書。
在線釣魚攻擊幫助釣魚攻擊者解決了發(fā)動(dòng)釣魚攻擊的最大問題,即如何竊取更多銀行帳戶信息。在傳統(tǒng)的釣魚攻擊中,攻擊者通常會(huì)發(fā)送出數(shù)以百萬計(jì)的偽裝電子郵件,讓用戶以為這些電子郵件是來自合法公司,如銀行或者網(wǎng)上支付公司。這些郵件信息往往會(huì)被垃圾郵件過濾軟件攔截,所以成功率不會(huì)很高。有了在線釣魚攻擊,攻擊者不需要再使用發(fā)送電子郵件的方式,取而代之的是彈出瀏覽器窗口。
讓我們看看這種在線釣魚攻擊是如何發(fā)生的:黑客們首先會(huì)攻擊一個(gè)合法網(wǎng)站,然后植入HTML代碼,使網(wǎng)站自動(dòng)彈出類似安全警告的窗口,然后用戶登陸網(wǎng)站時(shí)該彈出窗口就會(huì)要求用戶輸入密碼和登錄信息,或者要求用戶回答其他銀行用來核實(shí)用戶身份的安全問題。
對(duì)于攻擊者而言,最困難的部分就是要讓用戶相信彈出通知窗口是安全合法的,不過這也不難,因?yàn)樗兄髁鳛g覽器的JavaScript引擎中存在的一個(gè)漏洞恰好能夠助在線釣魚攻擊者一臂之力,Trusteer公司的首席技術(shù)官Amit Klein表示,這個(gè)漏洞能夠提高攻擊者的成功率。
Klein表示,他通過研究瀏覽器使用JavaScript的方式,已經(jīng)發(fā)現(xiàn)了一種方法可以鑒定用戶是否登錄到某網(wǎng)站,只要使用某種JavaScript函數(shù),Klein表示將不會(huì)公布這個(gè)函數(shù)功能,以防在線釣魚攻擊者向該漏洞發(fā)起攻擊,不過Klein已經(jīng)告知瀏覽器供應(yīng)商并預(yù)計(jì)這個(gè)漏洞很快將得到修復(fù)。
在此之前,如果攻擊者發(fā)現(xiàn)了這個(gè)安全漏洞,就能夠?qū)懭氪a來檢查是否有網(wǎng)民登錄到銀行網(wǎng)站。“不僅僅通過這個(gè)隨機(jī)彈出釣魚信息,在線釣魚攻擊者還可以通過探測來發(fā)現(xiàn)用戶是否在登錄金融機(jī)構(gòu)網(wǎng)站以進(jìn)行更復(fù)雜的攻擊。”他表示。
“事實(shí)上,只要用戶在線就可能收到釣魚信息,”Klein補(bǔ)充說道。
安全研究人員已經(jīng)研究出其他方法來識(shí)別受害者是否正登錄到某個(gè)網(wǎng)站,但信息也不是完全可靠,Klein表示他的方法不是完全可行的,但是可以在很多網(wǎng)站使用,包括銀行、購物網(wǎng)站、游戲和社交網(wǎng)站等。
【編輯推薦】
