网络钓鱼攻击又出新招,Mozilla成目标

Mozilla的用户界面专家已经发现了一种新型的钓鱼手法,黑客将浏览器标签变形,诱骗用户输入(邮箱、网银等)登录信息。

传统的网络钓鱼一般会诱骗用户直接访问一个恶意网页,比如假冒的网上银行登录页面,这样就可以搜集用户网银的信息。

Mozilla Firefox的领导人Aza Raskin周一在博客中表示,这项新技术,被称为“tabnapping”或者“tabjacking”(标签钓鱼),这会让用户看起来访问的是一个真实合法的网站。

Raskin表示,如果用户在浏览器中离开了当前页面,并且打开了一个新标签,那么,恶意标签就会改变它自己,伪装成为一个合法的可信任站点。恶意站点改变了标签上显示的标题以及网站图标,而其他都没有变化。Raskin同时还演示了一个假冒的Gmail登录页面。

Raskin说,随后,用户切换回假冒的标签中,误以为这是一个值得信任的站点,不假思索的输入了用户名和密码。

该攻击能够得以实施,很大程度上得益于用户对待安全不够认真。比如,在遭受攻击时候没有发现浏览器的URL地址发生了变化。根据研究报告显示,本次攻击主要针对Firefox、IE以及Google Chrome等流行的浏览器。

Raskin表示,钓鱼攻击实施者可以使用以前常用的技术,发现哪些被信任的网站是用户会频繁访问的,比如银行或者一些特殊网页。

Raskin说,“使用CSS历史记录器,检测到哪些网站被用户访问,然后发动攻击,黑客可以检测出访问者是否拥有一个Facebook帐户,或者是否是花旗银行的客户,他是否拥有Twitter账号等等,然后,使用一个伪造的页面来欺骗用户。”

他表示,攻击者制造了一个页面,提示用户一些错误信息,比如“会话已经超时,请重新登录”之类的话,“这确实常常发生在银行网站上,所以黑客利用这点能够更容易的进行攻击。”

Raskin描述的攻击依赖于Javascript,在浏览器加载项中禁用脚本将能够抵御此类攻击。不过,研究人员Avi Raff发现了一种新版本的攻击,即使禁用了脚本,也能够触发。

网络钓鱼仍然是一个不断增长的威胁,恶意网址链接通过email以及Twitter这样的SNS网站来大量传播,Twitter在3月推出了一项旨在阻止恶意链接欺骗用户的SNS网站的恶意链接。