当前位置: > 华宇总代理 > 正文
正文
近日,一种向手机浏览器Chrome用户隐藏网站真实位置的新方法浮出水面。
安全研究人员詹姆斯·费舍尔上周六在其个人博客上发表文章称,华宇总代理网络钓鱼者可以欺骗用户向恶意网站的运营者透露他们在合法网站上的身份。
Fisher解释说,骗子可以利用移动Chrome的功能,在用户在网页上滚动时隐藏地址栏,方法是插入一个地址栏,让虚假网站伪装成合法网站,比如银行网站。
更糟糕的是,骗子可以创建一个“滚动监狱”,阻止用户看到页面的真实URL,即使他们滚动到顶部。
“用户以为他们在页面上滚动,”Fisher写道,“但实际上他们只是在滚动监狱中向上滚动!”就像《盗梦空间》中的梦境一样,用户相信他们在自己的浏览器中,但实际上他们是在浏览器中的浏览器中。”
小问题
位于加州圣克拉拉的网络安全软件制造商Malwarebytes的Mac & Mobile主管托马斯•里德(Thomas Reed)指出,尽管费舍尔的发现对消费者来说不是好消息,但这似乎是一个小问题,因为一个网页的真实URL最初会出现在地址栏中。
他说:“这需要一套非常具体的用户行为,才能让它变得有用。”“不过,我能看到一些人表现出这种行为,所以这肯定是个问题。”
然而,“我不认为这是一个严重的威胁,因为用户只需要注意URL栏当他们第一次访问该网站,”里德说。“老实说,我不认为这个会被广泛使用,如果有的话。”
他指出,对于那些通过网络钓鱼获取个人信息的人来说,使用同形异义词攻击要容易得多。在这种类型的攻击中,骗子获取一个域名并替换第一眼看上去与原始字符相似的字符。例如,0可以代替字母“O”,或者1可以代替字母“l”。
科罗拉多州Broomfield互联网安全公司Webroot的高级威胁研究分析师卡梅隆帕兰(Cameron Palan)说,费舍尔描述的攻击是一个概念验证,而不是黑客工具包里的东西。
他说:“这不是在野外发现的攻击,如果Chrome快速更新,可能永远不会影响用户。”
拥有Chrome浏览器的谷歌没有回应我们的置评请求。
黑客投资回报率低
加州坎贝尔梭鱼网络公司(Barracuda Networks)高级安全研究员乔纳森坦纳(Jonathan Tanner)说,这种网络钓鱼策略不太可能对消费者构成重大威胁。
“所需的技术能力和时间成功地实现,这将使它不太可能在野外,和谷歌,可能其他浏览器制造商——无疑将补丁这速度比的速度可能成为钓鱼页面常见,”他告诉。
“我怀疑实施这种方法的回报是否值得,”他说。“单凭这项技术,就不太可能显著增加被钓鱼用户的后续行动。”
加州网络安全和性能公司Juniper Networks的威胁实验室负责人穆尼尔?哈德(Mounir Hahad)说,与一些浏览器攻击不同,这次攻击并非基于漏洞。
“这是诡计,”他说。
“没有办法强迫下载恶意内容,触发远程代码执行或任何恶意活动,”Hahad说。
“这只是一个视觉技巧,可能会让一些人认为他们在一个不同于他们实际浏览的网站上,”他继续说。
Hahad指出,这种欺骗行为并不局限于移动浏览器。“其他浏览器和其他操作系统有不同的实现,这可能会允许这种技巧的一个不那么复杂的版本。”
消费者保护自己
虽然假地址栏攻击的设计是隐形的,但警觉的消费者可以识别它。
Hahad解释说:“当用户向下滚动网页后,地址栏中的网站发生了意外的变化,而且似乎对预期的交互没有反应时,他们就能识别出这种类型的攻击。”
Webroot的Palan补充道:“点击工具条来测试一下。”“这个假的没有任何功能。此外,在假的标签栏上显示的当前标签的数量可能与你自己的不匹配。”
位于英国肯特郡迈德斯通的消费者安全产品评论、建议和信息网站Comparitech的隐私倡导者保罗•比肖夫(Paul Bischoff)指出,一旦用户开始向下滚动页面,就很难区分假冒浏览器和真正的浏览器。
“识别假网址的最好方法是在向下滚动之前注意到真实的网页网址,”他说。
Barracuda的Tanner建议,消费者应该警惕那些指向登录屏幕的链接。
更好的办法是,为你想登录的任何网站手工输入完整正确的URL。这应该足以让用户保护自己,”他建议。
坦纳补充说:“这种攻击虽然新颖,但并不特别重要,也不太可能在野外大量使用,因此一般的安全措施就足够了。”
日益严重的问题
如果像Fisher描述的那样伪造地址栏在网络钓鱼圈子中流行起来,那就有点不正常了。
比肖夫说:“大多数网络钓鱼活动都与平台无关。“不管你是在手机上还是电脑上遇到它们,这都无关紧要。”
Malwarebytes的Reed指出,网络钓鱼攻击在移动设备上非常普遍。
“然而,移动设备用户拥有的一个优势是,大多数网站都可以使用攻击者想要模仿的应用程序,”他说。
里德指出:“举例来说,华宇代理如果你是美国银行(Bank of America)的客户,在你的移动设备上,你更有可能使用美国银行的应用程序,而不是美国银行的网站。”
“尽管如此,如果攻击者能够让移动用户点击链接,他们仍然可以捕获大量受害者,”他说。
弗吉尼亚州赫登(Herdon)网络安全解决方案提供商向心力网络(向心力Networks)的威胁分析师乔纳森·奥利维拉(Jonathan Olivera)解释说,由于该行业的快速增长,针对移动设备的网络钓鱼攻击可能正在增加。
他表示:“坏行为者总是会关注用户最多的领域。
“移动平台和应用程序开发人员有动机生产尽可能多的产品来满足他们的用户基础,”奥利韦拉说,“这导致许多产品存在安全漏洞。”
版权保护: 本文由 原创,转载请保留链接: http://www.allart.com.cn//cms/2019/0917/162.html
