安全厂商Trusteer发现了一种可以不利用电子邮件就发动钓鱼攻击的新方法。
根据安全厂商Trusteer研究员的发现,该种新型的钓鱼攻击主要是利用了众多浏览器中都存在的漏洞,通过这种称为“in-session phishing”的会话钓鱼攻击,可以更轻易地窃取到网上银行证书。
“in-session phishing”钓鱼攻击可以帮助犯罪分子钓到更多的“鱼”。在传统的网络钓鱼攻击中,犯罪分子把自己伪装成拥有合法身份的主体比如银行或者网上支付公司等,并通过伪装身份发送大量的垃圾邮件。
通常来说,这些垃圾邮件会被过滤软件拦截掉,但是在“in-session phishing”会话钓鱼攻击中,它们无需利用电子邮件,取而代之的是利用一个弹出窗口。
具体地讲:犯罪分子对要入侵的合法网站植入HTML代码,该代码会让人看起来是个安全警告的弹出窗口。该弹出窗口会要求受害者输入密码和登录信息,并很有可能会要求他们提供其他使用银行核实客户身份的安全问题的答案。
对于犯罪分子而言,最困难的环节莫过于如何让受害者相信其弹出窗口是合法的。但是,由于几乎所有的浏览器都是使用JavaScript引擎,该引擎中存在的漏洞可以使得这种类型的攻击似乎更加可信。
通过研究浏览器使用JavaScript的方式,Trusteer首席技术官Amit Klein说他已经发现了一种方法,可以确定是否有人登录过某个网站,前提是他们使用了JavaScript的某个函数。Klein并不会说出该函数名称,因为它将帮助犯罪分子发起攻击,但是他已经通知给了浏览器厂商,预计相关补丁将会陆续推出。
此前,获悉该安全漏洞的犯罪分子编写出了可以检测用户是否登录网站的代码。随后,这些随机诈骗邮件不仅雨后春笋般冒出来,而且攻击者可以借此获得更先进的探测用户是否登录网站的技术。
“事实上,目前我们对这种in-session钓鱼攻击的诈骗邮件给予了很多信任。”Klein说。
安全研究员已经找到其他方法,以确定受害者是否登录到某个网站,但是它们并不总是有效的。Klein就讲述到,他的技术也并不总是可靠的,但是它却可以用在包括银行、在线销售、游戏和社交等众多网站上。
相关视频
相关阅读 损友圈黑客是怎么算的 损友圈黑客攻略黑客大战直播网址 黑客大战直播2015CSDN“泄密门”两名黑客已落网CSDN数据库惨遭黑手,600万帐号泄漏!美国“网络战”激怒黑客 FBI合作伙伴网站遭袭“远程克隆手机SIM卡”实为黑客软件作祟黑客瞄准社交网络 请保护好自己的隐私信息黑客传播QQ盗号木马的常用伎俩
热门文章 没有查询到任何记录。
最新文章
防止DdoS攻击:通过路
解析卡巴斯基特色之漏
网站被sql注入的修复方法Ubuntu破解Windows和防护的三种方法防黑客qq改密码技巧如何保证Foxmail泄露邮箱密码安全
人气排行 路由器被劫持怎么办?路由器DNS被黑客篡改怎防止DdoS攻击:通过路由器绕过DDoS防御攻击如何彻底清除电脑病毒?如何使用无忧隐藏无线路由防蹭网办法车模兽兽激情视频下载暗藏木马使用四款防黑客软件的体会怎么防止木马入侵
查看所有0条评论>>