安全公司揭露in-session網路釣魚新手法
Trusteer在近日發表一份研究報告指出,過去黑客利用散佈偽造的電子郵件來誘騙使用者連線釣魚網站的手法正在發生改變,新一代網路釣魚可能利用瀏覽器漏洞,在網友造訪合法網站的同時跳出一個偽造的視窗讓使用者步入網路釣魚的陷阱。
網路釣魚是近年來黑客蒐集使用者機密資訊的手法之一,過去詐騙集團會先冒充裝金融或其他網站寄出網路釣魚電子郵件,誘騙使用者在釣魚網站上輸入個人資訊。
Trusteer表示,由於這些偽造郵件會被的ISP或使用者自身攔阻,因此成功率大不如前。該公司的研究團隊近來發現,採用in-session新型網路釣魚的方式正在成為黑客中被大量採用。當使用者登入網上銀行並完成所要執行的作業後,有時並不會馬上關閉視窗,而且會繼續瀏覽其他網站(這種情況大部分出現在網上購物的選擇階段)。這時可能跳出一個假冒該銀行的視窗,要求使用者重新輸入他們的帳號及密碼,所持理由包括要求使用者填寫滿意度調查,參與推廣活動,或是使用者在該網站登入過期要重新登入。
要進行in-session攻擊有兩大前提,首先黑客必須入侵合法的網站並嵌入惡意程式,其次是該惡意程式要能辨識出使用者登入的是哪個網站。專家認為,第一個條件很容易,因為迄今已有超過200萬個合法網站曾被非法入侵,而所嵌入的惡意程式是用來搜尋使用者目前正登入哪些網上銀行,而非下載惡意程式到使用者電腦上,因此不容易被檢測到。相較於第一個要件,第二個要件困難得多,但並非不可能。
此外,瀏覽器的漏洞也將協助攻擊者進行此類的攻擊。Trusteer研究團隊最近發現,市場上幾乎所有主流瀏覽器都擁有同樣的JavaScript的引擎漏洞。
該漏洞的產生是來自一個特定的JavaScript的功能,當該功能被呼叫時便會在使用者電腦上留下記錄,而且其他網站亦能追蹤這些紀錄,許多金融網站、零售網站以及社交網站都使用該功能並可被追蹤。
在in-session的攻擊情境中,黑客選擇入侵的並不是安全性較高的金融網站,而是一般的合法網站,然後嵌入可監測使用者是否正在登入金融網站的惡意程式,如果使用者登入金融網站的同時造訪這些已被黑客入侵的網站,攻擊者便能送出一個偽裝是該金融網站的提醒視窗,要求使用者重新輸入帳號及密碼,使用者分不清楚該跳出式視窗究竟是哪個網站送出的,就可能掉進陷阱。
對於新一代的網釣手法,安全專家建議使用者要部署瀏覽器安全工具,在瀏覽其他網站前務必要關閉金融網站或其他重要的線上應用程式視窗,對未點選而主動跳出的視窗要特別小心。
相關文章
- 釣魚篇-網路釣魚
- 網路釣魚攻擊
- 網路釣魚是什麼?網路釣魚攻擊的形式有哪些?
- 2019 年網際網路安全報告:黑客釣魚有新招黑客
- 2019 年網際網路安全報告:駭客釣魚有新招
- Coremail郵件安全:2022重保最新釣魚案件典型攻擊手法覆盤REMAI
- Proofpoint:2024年網路釣魚報告
- 透過.PAC進行網路釣魚
- 釣魚釣魚去
- 多起網路釣魚攻擊借勢新冠疫情!360安全大腦強力攔截
- 釣魚攻擊防不勝防,該如何預防網路釣魚攻擊?
- 釣魚篇-其他釣魚
- 網路釣魚 你知道如何識別嗎?
- 網路釣魚,你要怎麼防範
- 卡巴斯基:2020年網路釣魚報告
- 抖音國際版成為網路釣魚詐騙新目標
- 釣魚篇-郵件釣魚
- FBI針對HTTPS網路釣魚釋出警告HTTP
- 釣魚篇-其他型別釣魚型別
- 釣魚網站與反釣魚技術剖析(圓桌會議)網站
- 一文學會如何識別網路釣魚
- 網路釣魚攻擊常用方法及防禦措施!
- 網路釣魚鋪天蓋地,防不防,如何防?
- 網路釣魚各式套路盤點,你中招了嗎?
- 什麼是魚叉式網路釣魚?常見的方式有哪些?
- 谷歌帳戶獲得新的驗證功能 以防止網路釣魚攻擊谷歌
- 什麼是欺騙性網路釣魚?如何防禦?
- 常見網路釣魚攻擊有哪些?如何識別?
- 網路釣魚攻擊常見手段及防範措施!
- 使用Outlook欺騙性雲附件進行網路釣魚
- 卡巴斯基:2021年Q3 網路釣魚報告
- 上班摸魚與網路安全
- 網路釣魚攻擊常用方法是什麼?如何防護?
- 關注重要的Azure網路釣魚攻擊及對策
- 【滲透測試分享】網路釣魚有哪些注意事項?
- 物流巨頭資料洩露、網路釣魚攻擊冒充輝瑞|12月21日全球網路安全熱點
- 新手段!網路犯罪分子利用谷歌Docs漏洞傳播網路釣魚連結谷歌
- 釣魚學習