淺談新型釣魚手法:「瀏覽器中的瀏覽器」|專家論點【Huli】
網路釣魚(phishing)這個詞應該許多人都不陌生,簡單來說就是通過各種手法,想辦法騙取使用者的信任,藉此竊取個資或是其他重要資料,如信用卡號或是網站的帳號密碼等等。
一般常見的釣魚手法像是釣魚信件,下圖就是我實際收到的釣魚信件,偽造成中華郵政,想要讓你點擊連結,而點下去的網址跟顯示的網址是不一樣的,會被導去釣魚網站:
而現在很多收信的網站或是軟體都有提供內建的防護機制,像是上面這張圖就可以看到左上角有一個 icon,原本這邊應該是一張圖的,但是 Gmail 判定這個寄件者不信任,因此就不自動顯示圖片了。除此之外,這封信也自動被 Gmail 丟到垃圾信件夾裡面,不會進到主要的收件箱。
另一種常見的方法就是釣魚網站,可能你點進去某個網站,說你中大獎了要提供資料,或者你在找某個電商的官方網站,結果不小心點到別的長得一模一樣的網站,只要輸入了帳號密碼,帳號就會被偷走。以前也有發生過偽造成政府疫情紓困專案的案例,藉此博取使用者的信任。
這些釣魚網站可能會透過電子郵件、搜尋引擎或者是手機簡訊等等的管道來接觸你,而比較用心的網址會想辦法魚目混珠,長得跟原本的很像。
除了以上的釣魚手法之外,有一種新型的釣魚手法也很特別,叫做「瀏覽器中的瀏覽器」,英文為:「Browser-in-the-browser」,簡稱為 BitB。
這個釣魚手法,看底下這個 GIF 就知道了(來源為 Browser In The Browser (BITB) Attack):
你有看出什麼異狀嗎?
在上面的 demo 中,當你按下「Sign in with Microsoft」的時候,不是會彈出一個登入視窗嗎?那個其實是假的,那個視窗看起來是彈出視窗,但其實是用 HTML + CSS 刻的!這就是攻擊名稱 Browser-in-the-browser 的由來,在瀏覽器裡面再畫一個瀏覽器出來。
如果沒有注意的話,就會以為是彈出視窗,而且網址還是正確的網址,就會令人降低戒心,輸入帳號密碼。當你按下登入的那一瞬間,帳號跟密碼就被送到駭客手裡了。
這個釣魚手法雖然在以前就出現過,但從今年年初開始才慢慢受到關注,算是比較新的釣魚手法,以技術的觀點來看其實滿有趣的,透過偽造一個以假亂真的瀏覽器畫面來欺騙使用者。而有個防範的方式就是拖曳視窗,看看能不能把視窗拖出分頁所在的位置,因為如果是假造的,你沒辦法讓它脫離分頁,只能在分頁當中移來移去。
以後碰到可疑網站的時候,可以多加留意,避免成為那條被釣到的魚。
參考資料:
- 全新「BitB」攻擊手法的網路釣魚技術現身!精明網友也無法看出「有鬼」
- Browser-in-the-browser attack: a new phishing technique
- 新釣魚攻擊「瀏覽器中的瀏覽器」竊取玩家Steam帳號,安全專家提醒注意
- Letting off steam
- Browser In The Browser (BITB) Attack
瀏覽 1,547 次