在線釣魚:網絡釣魚新形式
網絡釣魚作為網絡安全的第一大危害,已經到了老鼠過街人人喊打的地步。無數的用戶和安全產品廠商利用各種技術,試圖進行封殺。但就在戰爭進行的水深火熱的地步時,一種新型的網絡釣魚技術:在線釣魚又亮出了它的殺機。
安全廠商Trusteer的研究人員表示,近日黑客利用所有主流瀏覽器中存在的一個漏洞發起新型攻擊,被稱為“在線釣魚攻擊(in-session phishing)”,這種攻擊能夠幫助黑客輕而易舉地竊取網上銀行電子證書。
在線釣魚攻擊幫助釣魚攻擊者解決了發動釣魚攻擊的最大問題,即如何竊取更多銀行帳戶信息。在傳統的釣魚攻擊中,攻擊者通常會發送出數以百萬計的偽裝電子郵件,讓用戶以為這些電子郵件是來自合法公司,如銀行或者網上支付公司。這些郵件信息往往會被垃圾郵件過濾軟件攔截,所以成功率不會很高。有了在線釣魚攻擊,攻擊者不需要再使用發送電子郵件的方式,取而代之的是彈出瀏覽器窗口。
讓我們看看這種在線釣魚攻擊是如何發生的:黑客們首先會攻擊一個合法網站,然后植入HTML代碼,使網站自動彈出類似安全警告的窗口,然后用戶登陸網站時該彈出窗口就會要求用戶輸入密碼和登錄信息,或者要求用戶回答其他銀行用來核實用戶身份的安全問題。
對于攻擊者而言,最困難的部分就是要讓用戶相信彈出通知窗口是安全合法的,不過這也不難,因為所有主流瀏覽器的JavaScript引擎中存在的一個漏洞恰好能夠助在線釣魚攻擊者一臂之力,Trusteer公司的首席技術官Amit Klein表示,這個漏洞能夠提高攻擊者的成功率。
Klein表示,他通過研究瀏覽器使用JavaScript的方式,已經發現了一種方法可以鑒定用戶是否登錄到某網站,只要使用某種JavaScript函數,Klein表示將不會公布這個函數功能,以防在線釣魚攻擊者向該漏洞發起攻擊,不過Klein已經告知瀏覽器供應商并預計這個漏洞很快將得到修復。
在此之前,如果攻擊者發現了這個安全漏洞,就能夠寫入代碼來檢查是否有網民登錄到銀行網站。“不僅僅通過這個隨機彈出釣魚信息,在線釣魚攻擊者還可以通過探測來發現用戶是否在登錄金融機構網站以進行更復雜的攻擊。”他表示。
“事實上,只要用戶在線就可能收到釣魚信息,”Klein補充說道。
安全研究人員已經研究出其他方法來識別受害者是否正登錄到某個網站,但信息也不是完全可靠,Klein表示他的方法不是完全可行的,但是可以在很多網站使用,包括銀行、購物網站、游戲和社交網站等。
【編輯推薦】
