技巧否定了“检查URL”建议
安全研究人员证明了网络钓鱼涉及模拟弹出窗口以欺骗合法领域的技术。
研究人员以在线名称为Mr.D0X的研究人员强调了这一技术,说明了一个已知的问题,这些问题在某种程度上被宣传了,而不是全新黑客技巧。
尽管如此,欺骗弹出页面登录窗口的方法仍然很危险,因为它破坏了冲浪者应“检查站点的URL”的标准建议。
也可以阅读Firefox修复了全屏通知旁路错误
所谓的“主要限制”浏览器在浏览器的攻击中,首先需要在显示弹出窗口之前访问攻击者控制的网站。beplay体育能用吗
“但是,一旦降落在攻击者拥有的网站上,用户将在似乎是合法网站上输入证书时会放心beplay体育能用吗(因为值得信赖的URL是这样说的),” Mr.D0x解释说。
一种技术博客文章由Mr.D0X通过更深入的解释
欺骗的弹出窗口不会自动填充密码,这是对该技术的潜在限制。
供应商可能很难防止这种渎职行为每日swbeplay2018官网ig尽管如此,他们仍然充满信心地掌握了问题。
一种Mozilla发言人告诉每日swbeplay2018官网ig:“重要的是要意识到网络钓鱼陷阱。我们还建议使用密码管理器,例如Firefox浏览器,以及如Webauthn这样的抗网络钓鱼技术。”beplay体育能用吗
Microsoft开发了Edge浏览器,Google拒绝发表评论。
自动检测给定程序(或网页)是否是恶意的是IT行业多年来一直遇到的问题。beplay体育能用吗每个主要的浏览器都具有基于块列表的抗捕捞解决方案,但此方法不完整。
通常无法解决
流行歌剧浏览器的制造商Opera Software产品安全负责人Cezary Cerekwicki告诉每日swbeplay2018官网ig“关于全部所谓的社会工程学的可悲真理是,它通常是基于技术理由无法解决的”。
研究人员Mr.D0X接受了一些困难,但认为浏览器制造商仍然应该做更多的事情,部分原因是用户已经习惯了浏览器弹出窗口,要求提供凭据,因此可以使用网络钓鱼技术的潜在效力。
“这种类型的攻击很难在视觉上检测到,因为假窗口看起来与一个很难注意到的微小差异的真实窗口完全相同。”每日swbeplay2018官网ig。
“浏览器可以做的事情是将其窗户标记为无法用HTML/CSS复制的内容。当然,这说起来容易做起来难。”
