consulting

67-vb.jpg
駭客發動釣魚攻擊有新招
會員評比: / 5
最差最好 
知識庫文章 - 資安病毒防毒知識文章

最新報導,安全廠商Trusteer發現了一種可以不利用電子郵件就發動釣魚攻擊的新方法。

根據安全廠商Trusteer研究員的發現,該種新型的釣魚攻擊主要是利用了眾多瀏覽器中都存在的漏洞,通過這種稱為 in-session phishing 的會話釣魚攻擊,可以更輕易地竊取到網上銀行證書。

in-session phishing 釣魚攻擊可以幫助犯罪分子釣到更多的「魚」。在傳統的網路釣魚攻擊中,犯罪分子把自己偽裝成擁有合法身份的主體比如銀行或者網上支付公司等,並通過偽裝身份發送大量的垃圾郵件。

通常來說,這些垃圾郵件會被過濾軟體攔截掉,但是在「in-session phishing」會話釣魚攻擊中,它們無需利用電子郵件,取而代之的是利用一個快顯視窗。

具體地講:犯罪分子對要入侵的合法網站植入HTML代碼,該代碼會讓人看起來是個安全警告的快顯視窗。該快顯視窗會要求受害者輸入密碼和登錄資訊,並很有可能會要求他們提供其他使用銀行核實客戶身份的安全問題的答案。

對於犯罪分子而言,最困難的環節莫過於如何讓受害者相信其快顯視窗是合法的。但是,由於幾乎所有的瀏覽器都是使用JavaScript引擎,該引擎中存在的漏洞可以使得這種類型的攻擊似乎更加可信。Trusteer首席技術官Amit Klein如是表示。

通過研究瀏覽器使用JavaScript的方式,Klein說他已經發現了一種方法,可以確定是否有人登錄過某個網站,前提是他們使用了JavaScript的某個函數。Klein並不會說出該函數名稱,因為它將幫助犯罪分子發起攻擊,但是他已經通知給了瀏覽器廠商,預計相關補丁將會陸續推出。

此前,獲悉該安全性漏洞的犯罪分子編寫出了可以檢測用戶是否登錄網站的代碼。隨後,這些隨機詐騙郵件不僅雨後春筍般冒出來,而且攻擊者可以借此獲得更先進的探測用戶是否登錄網站的技術。

「事實上,目前我們對這種in-session釣魚攻擊的詐騙郵件給予了很多信任。」:Klein說。

安全研究員已經找到其他方法,以確定受害者是否登錄到某個網站,但是它們並不總是有效的。Klein就講述到,他的技術也並不總是可靠的,但是它卻可以用在包括銀行、線上銷售、遊戲和社交等眾多網站上。

(此篇文章為網路轉載,如有冒犯,請來信告知,當即刻移除!)