安全研究人员发现了一种新的可怕的网络钓鱼技术:它涉及在页面上生成与真实 Facebook OAuth 登录窗口完全相同的虚假登录弹出窗口。证书、地址栏中的地址、设计……一切看起来都是 100% 真实的,因此即使是最有经验的用户也可能会被误导。唯一真正能帮助发现欺骗的方法是尝试将假弹出窗口拖离页面......
网络钓鱼攻击通常很容易阻止。特别是如果您像我们一样,在输入密码之前系统地检查几个关键点:地址栏中的确切 URL、同形异义词的存在(拼写几乎相同的域名,例如 faebook.com 而不是 facebook) .com)、HTTPS 的使用、证书的有效性甚至表单的设计。在许多情况下,如果您安装了防病毒套件,则扩展可以提供执行自动检查的额外好处。
研究人员发现网络钓鱼攻击即使对于经验丰富的用户来说也是可信的
现在想象一下网络钓鱼攻击,其中 URL 正确、使用 HTTPS、具有有效的证书、具有与真实登录表单相同的设计并且让您的防病毒软件对网络钓鱼攻击的检测不受挑战?这正是安全研究员、密码管理器 Myki 发行商的联合创始人兼首席执行官 Antoine Vincent Jebara 刚刚发现的。据《黑客新闻》援引该官员的话称:“即使是最警惕的用户也可能上当。”
Facebook 与谷歌或微软一样,提供统一的登录服务。许多网站实施这些措施是为了向访问者提供更方便的连接方法。他说他发现了向访问者提供该系统的恶意网站开放认证来自脸书。或者至少使用一些 HTML 和 JavaScript 使其看起来非常真实。原理很简单:de 不是像 Facebook 那样显示真实的弹出窗口,而是模拟浮动在页面上的弹出窗口。
因此,窗口不再是一个容器,而是一个用户可以在一定程度上移动的图形元素,从而增强了真实性的印象。当然,地址、绿色挂锁、表格……所有这些都是假的,旨在给用户尽可能多的信心。然而,最好的部分是对于防病毒软件来说,不会打开登录窗口。因此,网络钓鱼检测保持沉默,这增加了风险。
如何保护自己?
据 Antoine Vincent Jebara 称,除了完全恶意的网站之外,此登录页面有时也会出现在合法网站上。网络犯罪分子“分发博客和服务的链接,要求您首先‘连接到您的 Facebook 帐户’才能阅读爆炸性文章或以折扣价购买产品”。只有一种有效的方法可以阻止此类攻击:尝试将登录窗口拖到窗口之外。如果失败了,那就是一个陷阱。
Antoine Vincent Jebara 建议的另一种方法是使用密码管理器,因为他是一家发布密码管理器的公司的首席执行官,这可能不会令您感到惊讶。在文章末尾的视频中,他解释了这次攻击:“大多数密码管理器不会受到此类网络钓鱼攻击,因为它们会检查窗口地址以确定应预先填写哪个密码”。
关于同一主题:网络钓鱼 – 这项 Google 测试揭示了您识别陷阱的能力
而你,会掉入陷阱吗?在评论中分享你的意见。
询问我们最新的!
太阳系中行星的略微倾斜和偏心的轨道长期以来一直引起科学家的兴趣。一项新的研究提出了一个令人着迷的理论:来自另一个恒星系统的巨大物体会破坏其最初的组织。太阳系...
消息
![如何使用 Google 通讯录 [PC] 添加和管理联系人](https://jjgvkw.com/tech/marquetta/wp-content/uploads/2024/10/googlee382b3e383b3e382bfe382afe38388e381aee4bdbfe38184e696b9e38090pce38091e980a3e7b5a1e58588e38292e8bfbde58aa0e383bbe7aea1e79086.jpg)
