安全厂商Trusteer的研究人员表示,近日黑客利用所有主流浏览器中存在的一个漏洞发起新型攻击,被称为“在线钓鱼攻击(in-session phishing)”,这种攻击能够帮助黑客轻而易举地窃取网上银行电子证书。

  在线钓鱼攻击帮助钓鱼攻击者解决了发动钓鱼攻击的最大问题,即如何窃取更多银行帐户信息。在传统的钓鱼攻击中,攻击者通常会发送出数以百万计的伪装电子邮件,让用户以为这些电子邮件是来自合法公司,如银行或者网上支付公司。这些邮件信息往往会被垃圾邮件过滤软件拦截,所以成功率不会很高。有了在线钓鱼攻击,攻击者不需要再使用发送电子邮件的方式,取而代之的是弹出浏览器窗口。

  让我们看看这种攻击是如何发生的:黑客们首先会攻击一个合法网站,然后植入HTML代码,使网站自动弹出类似安全警告的窗口,然后用户登陆网站时该弹出窗口就会要求用户输入密码和登录信息,或者要求用户回答其他银行用来核实用户身份的安全问题。

  对于攻击者而言,最困难的部分就是要让用户相信弹出通知窗口是安全合法的,不过这也不难,因为所有主流浏览器的JavaScript引擎中存在的一个漏洞恰好能够助攻击者一臂之力,Trusteer公司的首席技术官Amit Klein表示,这个漏洞能够提高攻击者的成功率。

  Klein表示,他通过研究浏览器使用JavaScript的方式,已经发现了一种方法可以鉴定用户是否登录到某网站,只要使用某种JavaScript函数,Klein表示将不会公布这个函数功能,以防攻击者向该漏洞发起攻击,不过Klein已经告知浏览器供应商并预计这个漏洞很快将得到修复。

  在此之前,如果攻击者发现了这个安全漏洞,就能够写入代码来检查是否有网民登录到银行网站。“不仅仅通过这个随机弹出钓鱼信息,攻击者还可以通过探测来发现用户是否在登录金融机构网站以进行更复杂的攻击。”他表示。

  “事实上,只要用户在线就可能收到钓鱼信息,”Klein补充说道。

  安全研究人员已经研究出其他方法来识别受害者是否正登录到某个网站,但信息也不是完全可靠,Klein表示他的方法不是完全可行的,但是可以在很多网站使用,包括银行、购物网站、游戏和社交网站等。

转载于:https://www.cnblogs.com/waw/archive/2011/10/08/2202531.html

警告:黑客发动在线钓鱼攻击不再依赖电子邮件相关推荐

  1. 思科警告:“关键更新”钓鱼攻击窃取用户 Webex 凭证

     聚焦源代码安全,网罗国内外最新资讯! 作者:Lindsey O'Donnell 编译:奇安信代码卫士团队 思科警告称,目前钓鱼攻击活动向受害者发布思科安全公告要求受害者更新以修复一个严重漏洞,然而实 ...

  2. OpenSea钓鱼攻击事件得到的启发警惕

    转载原文链接:http://www.btcwbo.com/5018.html 2月19日,攻击者成功从Opensea用户手中偷走了254个NFT,其中包括珍贵的Decentraland和Boredap ...

  3. 如何使用setoolkit实施钓鱼攻击

    前言 当我们在访问一个网站的时候,可能偶尔会遇到这样的情况,打开网页,并没有发现什么异常,但是当我们在网页表单中输入用户名和密码等信息然后点击登录按钮进行数据提交的时候,发现页面突然闪了一下,并且页面 ...

  4. 无聊猿项目又遭受钓鱼攻击,网络钓鱼究竟是何方神圣

    北京时间2022年6月5日,知道创宇区块链安全实验室监测到著名NFT项目(无聊猿)的 Discord 社群再次遭受了网络钓鱼攻击,造成约 200 枚以太币的损失.在此之前,著名歌手周杰伦在愚人节当天就 ...

  5. 创宇区块链|无聊猿项目“又 双 叒 叕” 遭受钓鱼攻击,网络钓鱼究竟是何方神圣

    前言 北京时间2022年6月5日,知道创宇区块链安全实验室 监测到著名NFT项目(无聊猿)的 Discord 社群再次遭受了网络钓鱼攻击,造成约 200 枚以太币的损失.在此之前,著名歌手周杰伦在愚人 ...

  6. S/MIME 电子邮件保护免受鱼叉式网络钓鱼攻击

    我们的第一篇 S/MIME 帖子广泛概述了组织在电子邮件安全方面面临的挑战,并介绍了可用于应对其中许多漏洞的 S/MIME 技术. 在这篇文章中,我们将更具体地讨论如何使用 S/MIME 来对抗&qu ...

  7. 157 亿美元 !Salesforce 收购 Tableau !微软发布警告,表明黑客利用Office漏洞发动垃圾邮件攻击……...

    关注并标星星CSDN云计算 极客头条:速递.最新.绝对有料.这里有企业新动.这里有业界要闻,打起十二分精神,紧跟fashion你可以的! 每周三次,打卡即read 更快.更全了解泛云圈精彩news g ...

  8. 黑客利用雅虎通好友列表发动钓鱼攻击

    来源 : 赛迪网 时间:2007-07-04 据报道称,这一攻击是于本周一在美国被首次发现的,雅虎通好友列表中的一位好友会发送给你一条消息,其中有一个被笑脸图标包围的链接,该链接指向一个Geociti ...

  9. 黑客侵入电子签名供应商DocuSign的数据库 随后向用户发起钓鱼攻击

    当我们都忙于应对WannaCry勒索软件时,有两起数据泄露事件被上报.一起发生在DocuSign,电子签名技术的主要供应商之一:另一起发生在BELL,加拿大最大的电信公司. 在周二发布在其网站的一篇通 ...

最新文章

  1. 数组 = 容器
  2. python 线程等待_详解python多线程之间的同步(一)
  3. retinaface自定义增强
  4. DFT实训教程笔记4(bibili版本)- ATPG
  5. 数模学习笔记——微分方程(传染病模型)
  6. 从0开始搭建一个战棋游戏的AI(初级教程)
  7. api token 什么意思_还分不清 Cookie、Session、Token、JWT?
  8. Django主从数据库分离配置
  9. Mapreduce和Yarn概念,参数优化,作用,原理,MapReduce计数器 Counter,MapReduce 多job串联之ControlledJob(来自学习资料)...
  10. karto探秘之open_karto 第四章 --- 回环检测与后端优化
  11. oracle 官网下载api,Oracle官网下载Java的api离线文档
  12. Windows11 正式版 iso镜像下载
  13. 如何免费将PDF转成JPG?
  14. ui sketch_如何在Sketch中设计汽车应用程序设计UI
  15. 图数据库统计、趋势2023
  16. 真实的90后创业者是怎样的状态?
  17. 中国有句俗语叫“三天打鱼两天晒网”。某人从2010年1月1日起开始“三天打鱼两天晒网”,问这个人在以后的某一天中是“打鱼”还是“晒网”
  18. 淘宝分拆为三家独立公司:淘宝、商城和一淘
  19. ThingsBoard调试部署和性能分析
  20. 微信分享php网站不带缩略图,分享网页到微信朋友圈,怎样才能带缩略图?

热门文章

  1. java基本数据类型自动转包装类,Java String和基本数据类型之间的转换(包装类)
  2. 计算机自动连续工作的基础是存储程序原理,计算机的存储程序工作原理是什么...
  3. mysql什么情况会加意向锁_Mysql 数据库意向锁意义
  4. 劳力士格林尼治价格_劳力士行情暴跌后回涨,什么时候才是入手的最佳时机?...
  5. 为什么LED内部不集成限流电阻呢?
  6. Paddle 环境中 使用LeNet在MNIST数据集实现图像分类
  7. 基于LM567制作的反射式红外检测电路,用于节能信标检测电路
  8. 2021年广东赛区线上比赛高校组合点-五邑大学
  9. 第十六届全国大学生智能车比赛掠影
  10. 2021年春季学期-信号与系统-第三次作业参考答案-第八道题