freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

新型网络钓鱼攻击,利用虚假弹窗收集用户数据
2019-02-27 16:03:05
所属地 广东省

近期,安全人员发现一种新型的网络钓鱼攻击事件,目前主要针对Facebook及Google用户,以诱骗用户在线账户为目的,即使非常警惕的用户也很可能会中招。

安全人员文森特发现,网络犯罪分子正在分发博客和服务链接,提示访问者使用Facebook或Google账户登录,以便“阅读独家文章或购买折扣产品”。

使用Facebook和其他社交媒体账号登录可以方便使用者快速注册第三方服务,目前已被大量网站采用。通常,当您点击任何网站上的“使用Facebook登录”按钮时,将被重定向到该网站或通过该网站提供的在线弹出式浏览窗口,输入自己的Facebook用户凭据进行身份验证,并允许服务访问您的个人资料等必要信息。

然而,文森特发现,恶意博客在用户点击登录按钮后,为用户提供了一个非常逼真的假的Facebook登录提示弹窗,该登录按钮旨在捕获用户输入的凭据,就像任何网络钓鱼站点一样。

虚假弹窗实际上是使用HTML和JavaScript创建的,看起来完全和合法的浏览器窗口一样,显示状态栏、导航栏、阴影和带有绿色锁的Facebook网站的URL。根据文森特的说法,保护自己免受此类网络钓鱼攻击的唯一方法是,“实际上是尝试将弹窗提示拖离当前显示的窗口。如果将其拖出失败(弹出窗口的一部分消失在边缘之外),这就明显表示弹出窗口是假的。”

网络钓鱼攻击仍然是用户和企业面临的最严重的安全威胁之一,黑客不断尝试更多创新性的方法诱骗用户敏感信息或在线账户,国内同样存在使用社交媒体账户登录第三方服务的模式,这类网络钓鱼攻击方式也可能被复制用于针对国内用户。

沃通CA推荐网站服务器部署超安EV SSL证书,在浏览器上显示绿色地址栏及单位名称,让网站的显示内容具有唯一性,更难以被复制仿冒,有效防止各类网络钓鱼攻击。此外,弱口令密码极易被黑客以钓鱼攻击方式获取,建议网站为每项服务启用双因素身份验证,提高在线账户的安全性。

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者