与Inception在梦中的梦想相比,潜在的网络钓鱼技术
在发现新的网络钓鱼技术后,在访问银行网站或其他敏感地区时,需要特别小心。
安全研究员詹姆斯·费舍尔(James Fisher)展示了恶意移动站点如何模仿镀铬导航栏。更糟糕的是,由于浏览器的内置Autohide功能,用户向下滚动滚动的真实URL栏被隐藏了。
假地址栏攻击仅限于Google Chrome。费舍尔说,Firefox和其他移动浏览器没有受到影响。
Fisher在A中解释说:“当用户向下滚动时,浏览器将URL栏藏起来,然后将URL栏的屏幕空间藏近网页。”beplay体育能用吗博客文章。
“由于用户将此屏幕空间与'值得信赖的浏览器UI相关联,因此网络钓鱼站点可以通过显示自己的假URL栏 - Inception bar,将其使用它作为另一个站点。”
滚动监狱
费舍尔说,通过重新渲染带有假的移动网络浏览器导航栏,用户可能很容易被愚弄,以为他们在beplay体育能用吗合法的网站上。
他解释说:“通常,当用户滚动时,Chrome会重新播放真正的URL栏。”“但是我们可以欺骗Chrome,以免它重新显示真正的URL栏。
“一旦Chrome隐藏了URL栏,我们就将整个页面内容移至'卷轴监狱' - 也就是说,是一个新元素溢出:滚动。然后,用户认为他们在页面上滚动,但实际上他们只是在滚动监狱中滚动。”
费舍尔比较了被困在虚假环境中的冲浪者的状况,或者梦想着克里斯托弗·诺兰(Christopher Nolan)的科幻经典赛中的角色所面临的情况类似成立。隐喻使Fisher可以将攻击“成立栏”配音。
发现左场安全错误给其他安全专家留下了深刻的印象,即使他们是怀疑关于它提出了多少实际问题。
Malwarebytes的安全研究员克里斯·博伊德(Chris Boyd)告诉每日swbeplay2018官网ig他怀疑这个窍门会对成功或其他网络钓鱼攻击有很大的影响。
博伊德说过:“某人,某个地方可能会想到'这确实是真实的东西'并滚动滚动,但我认为这是永远的历史上约10个人。如果您要避开的人尚未完成,我很惊讶,早在您到达这一点之前。”
工业杂志病毒公告和偶尔安全研究人员的编辑Martijn Grooten补充说:“在平行的宇宙中,每个人都检查地址栏中的实际URL,以确定网站是否合法,这确实很可怕。在这个宇宙中,这是一个有趣的概念证明,但不仅仅是更多。”
其他人则认为安全弱点是剥削成熟除非由浏览器供应商解决。
供应商urlscan.io争论:“使网络钓鱼页面更加可信,这只是另一件事。有人可能会打开页面,向下滚动,然后想知道“等一下,这真的是汇丰银行吗?”滚动回去并上当。您可以在HTTP上托管一个网络钓鱼页面,同时仍获得假HTTPS绿色锁。”
Tenable Intelligence副总裁Gavin Millard评论说:“ Google和其他人应该考虑实施缓解技术,例如“死亡线”,以使浏览器UI和Web内容之间的分界更加明显。”beplay体育能用吗
目前尚不清楚Google是否考虑了Fisher值得补救所概述的安全弱点。每日swbeplay2018官网ig要求Google发表评论,我们将在提供更多信息时更新此故事。
