安全公司揭露in-session網路釣魚新手法

　　Trusteer在近日發表一份研究報告指出，過去黑客利用散佈偽造的電子郵件來誘騙使用者連線釣魚網站的手法正在發生改變，新一代網路釣魚可能利用瀏覽器漏洞，在網友造訪合法網站的同時跳出一個偽造的視窗讓使用者步入網路釣魚的陷阱。

　　網路釣魚是近年來黑客蒐集使用者機密資訊的手法之一，過去詐騙集團會先冒充裝金融或其他網站寄出網路釣魚電子郵件，誘騙使用者在釣魚網站上輸入個人資訊。

　　Trusteer表示，由於這些偽造郵件會被的ISP或使用者自身攔阻，因此成功率大不如前。該公司的研究團隊近來發現，採用in-session新型網路釣魚的方式正在成為黑客中被大量採用。當使用者登入網上銀行並完成所要執行的作業後，有時並不會馬上關閉視窗，而且會繼續瀏覽其他網站(這種情況大部分出現在網上購物的選擇階段)。這時可能跳出一個假冒該銀行的視窗，要求使用者重新輸入他們的帳號及密碼，所持理由包括要求使用者填寫滿意度調查，參與推廣活動，或是使用者在該網站登入過期要重新登入。

　　要進行in-session攻擊有兩大前提，首先黑客必須入侵合法的網站並嵌入惡意程式，其次是該惡意程式要能辨識出使用者登入的是哪個網站。專家認為，第一個條件很容易，因為迄今已有超過200萬個合法網站曾被非法入侵，而所嵌入的惡意程式是用來搜尋使用者目前正登入哪些網上銀行，而非下載惡意程式到使用者電腦上，因此不容易被檢測到。相較於第一個要件，第二個要件困難得多，但並非不可能。

　　此外，瀏覽器的漏洞也將協助攻擊者進行此類的攻擊。Trusteer研究團隊最近發現，市場上幾乎所有主流瀏覽器都擁有同樣的JavaScript的引擎漏洞。

　　該漏洞的產生是來自一個特定的JavaScript的功能，當該功能被呼叫時便會在使用者電腦上留下記錄，而且其他網站亦能追蹤這些紀錄，許多金融網站、零售網站以及社交網站都使用該功能並可被追蹤。

　　在in-session的攻擊情境中，黑客選擇入侵的並不是安全性較高的金融網站，而是一般的合法網站，然後嵌入可監測使用者是否正在登入金融網站的惡意程式，如果使用者登入金融網站的同時造訪這些已被黑客入侵的網站，攻擊者便能送出一個偽裝是該金融網站的提醒視窗，要求使用者重新輸入帳號及密碼，使用者分不清楚該跳出式視窗究竟是哪個網站送出的，就可能掉進陷阱。

　　對於新一代的網釣手法，安全專家建議使用者要部署瀏覽器安全工具，在瀏覽其他網站前務必要關閉金融網站或其他重要的線上應用程式視窗，對未點選而主動跳出的視窗要特別小心。