首页 小说推荐 实时讯息 百科知识 范文大全 经典语录
当前位置: 首页 > 实时讯息 >

安全公司披露黑客新型钓鱼攻击手法,利用虚假弹窗登录页

0次浏览     发布时间:2025-06-02 21:21:00    

IT之家 6 月 2 日消息,安全公司 SquareX 发文披露了一种名为“Browser in the Middle”的新型钓鱼攻击手法,能让黑客在暗中窃取用户的账号密码等敏感信息。

据介绍,“Browser in the Middle”属于中间人攻击的一种,也就是虚假的弹窗登录页(黑客山寨 Steam 等网站的登录页面,欺骗用户自己输入账号密码),目前业界主流的 Chrome、Edge、Safari 浏览器都存在设计缺陷,黑客可以利用浏览器的 Fullscreen API,将相应弹窗登录页设置为“全屏显示”,这样就能隐藏 URL,大大降低被用户发现的几率。

▲ 黑客设计的山寨 Steam 弹窗登录页面

研究人员指出,目前各大浏览器的 Fullscreen API 并未明确规定第三方网站该如何触发全屏,因此黑客可以在相应钓鱼弹窗中加入一个假的“登录”按钮,用户点击后就会被偷偷切换到全屏,进而降低用户关闭全屏查看核对 URL 的概率。

研究人员同时表示,苹果 Safari 浏览器风险最高,这是因为 Safari 在切换到网页全屏模式时不会显示任何提示。而基于 Chromium 内核的浏览器(如谷歌 Chrome、微软 Edge)虽然会弹出提示,但也只会短暂显示几秒,用户难以注意到。

▲ 黑客利用 Fullscreen API 让钓鱼登录页变成全屏,进一步增加用户自己输入账号密码的可能性

相关文章

网站内容来自网络,如有侵权请联系我们,立即删除!
Copyright © 快鸟文章网 琼ICP备2023007320号-20