Mozilla Firefox浏览器的界面及创意负责人Aza Raskin最近发现了一个新的网钓手法,可改变用户浏览网页的标签及接口,以诱导用户输入网络服务的账号与密码。 Raskin将此一新的手法称为标签绑架(tabnapping),指出当使用者连上一个嵌有第三方script程序或Flash工具的网页时,就会让自己曝露于风险中,因为相关的恶意软件得以侦测使用者经常使用或正在使用的网络服务,在用户暂时离开该网页后,该网页内容及网页标签会悄悄地变身成为伪造的网络服务,并诱导用户输入个人信息。 Raskin直接以其个人博客展示了这项攻击手法,假设使用者同时开启多个网页标签,其中一个是Raskin的博客,当用户点选了其他标签、暂时离开该博客,几秒后该博客的标签及接口就会变成Gmail,并呈现未登入状态。黑客可以将该网页伪装成任何使用者经常造访的网站,例如若以金融网站取代Gmail,使用者也许会以为是离开太久后自动注销,很可能就会输入自己的账号与密码以便重新登入。不过该项展示仅适用于Firefox浏览器。 过去黑客要执行网钓攻击必须藉由电子邮件或各种社交网站的恶意链接将用户导向伪造的网页以骗取使用者的帐户信息,外界认为Raskin的手法简化了网钓攻击方式,直接更改用户所链接网站的接口与标签。 |
