原文链接:一种新型钓鱼攻击技术出现
对于安全人员来说,URL是域名可信度评估的最重要方式。IDN Homograph和DNS劫持等攻击会使得URL可信度降低。近日,研究人员发现一种模拟浏览器窗口进行欺骗的新型钓鱼攻击方式。 弹窗登录窗口 在用谷歌、微软、苹果等服务登入网站时,都会提供一个进行认证的弹窗。下图是用尝试用谷歌账户登入Canva时的弹窗: 使用谷歌账户登入Canva 复制窗口 使用基本的HTML/CSS来复制整个窗口的设计非常简单。将窗口设计和指向保存有钓鱼页面的恶意服务器的iframe融合后基本上是不可区分的。下图就是真实窗口和伪造的恶意窗口的对比,基本上无法区分这两个窗口: 定制的URL模板 < a href=" >Google< /a > 在启动了JS的页面上,如果加入onclick event返回错误,那么在链接上划过仍然会显示href 属性中的网站,但点击后链接的href 属性会被忽略。因此,可以使用该技术让弹窗变得更加可信: < a href="https://gmail.com" >Google< /a > function launchWindow(){ // Launch the fake authentication window return false; // This will make sure the href attribute is ignored } 研究人员分别创建了Windows和Mac OSX系统Chrome浏览器的模板,参见Github:https://github.com/mrd0x/BITB Demo Demo视频如下所示: 参考及来源:https://github.com/mrd0x/BITB/blob/main/demo.gif及https://mrd0x.com/browser-in-the-browser-phishing-attack/ 文章来源:LemonSec 版权申明:内容来源网络,版权归原创者所有。除非无法确认,都会标明作者及出处,如有侵权,烦请告知,我们会立即删除并致歉! 本公号发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!
| 
发表于 2022-8-24 09:07:26