瀏覽器中的瀏覽器攻擊理論在2022年被提出,四年後被引用到現實世界的網絡釣魚,最初是由資安研究員所開發,近日被發現有攻擊者在實際攻擊中使用,從理論走到現實當中的演變以下將逐步拆解。
甚麼是瀏覽器中的瀏覽器攻擊?
這攻擊的核心源自研究人員對現代網頁開發工具(例如HTML、CSS、JavaScript等)快速發展的觀察,促使他設計出極為複雜的網絡釣魚模型,瀏覽器中的瀏覽器攻擊是網絡釣魚的精密形態,利用網頁設計創作詐騙網站偽裝成大家熟識的登入視窗,例如像真的Microsoft、Google、 Facebook或Apple登入畫面,研究人的考慮是,攻擊者建立看似合法的網站誘騙受害者,用戶必需先「登入」才能發表評論或購物。
登入看似簡單,只要點擊「登入」按鍵即可,但用戶看到的不是合法服務的身份驗證網頁,而是一個惡意網站生成的假表單,看起來像瀏覽器的彈出式視窗。而且彈出視突的網址也是由攻擊者設置得顯示完全合法網址,再仔細看也不會發現漏洞。如果沒防範的用戶在該視窗輸入了自己的Microsoft、Google、Facebook或Apple憑證,所有資料直接落入犯罪份子手中。當時的實驗理論,現在成為了攻擊者的武器。
Facebook憑證盜竊
攻擊者把研究人員的概念加入到近日瀏覽器中的瀏覽器攻擊內,由電郵展開攻擊,其中一個釣魚活動以律師事務所之名通知收件者,在Facebook發放觸犯版權的內容,訊息中甚至包含所謂違規的貼文連結。為了降低受害者的戒心,點擊連結不會立即打開假Facebook登入頁面,而是一個假Meta CAPTCHA,通過後才會出現假登入畫面視窗,假Facebook登入網頁依照研究人員四年前的藍圖,完全由網頁設計工具創建,用來收集受害者的憑證,而且網址列被指向真實Facebook網站www.facebook.com。
如何避免成為受害者
騙徒使用瀏覽器中的瀏覽器攻擊,顯示了他們的攻擊技倆持續進化,不過用戶也不用過度恐慌,其實只要一個密碼管理工具就能告訴你登入視窗是否合法,因為在自動填入憑證時,密碼管理工具看的是真實網址,而不是在地址列「顯示」的網址或網頁的設計,密碼管理員不會被瀏覽器中的瀏覽器攻擊或其他技倆所騙,所以當密碼管理員提供自動填寫,就證明是之前儲存憑證的網站內。
除此之外,以下一些建議也能助你防範不同的網絡釣魚方法,至少能夠降低攻擊成功帶來的損害。
- 在所有支援的帳號啟動雙重登入認證(2FA),由可靠的驗證應用程式生成一次性密碼作為第二憑證,避免釣魚活動攔截經由SMS、通訊應用程式發出的確定碼。
- 使用passkey,以此方法的登入選項出現也是顯示正在合法網站的標示。
- 每個帳號設定唯一和複雜的密碼,永不在不同帳號重複使用密碼,密碼管理工具能協助儲存多條複雜唯一的密碼,甚至生成2FA的一次性密碼、儲存passkey或在多部裝置上同步你的密碼。
資料來源:Kaspersky Blog
