Trusteer在近日发表一份研究报告指出,过去黑客利用散布伪造的电子邮件来诱骗用户连接钓鱼网站的手法正在发生改变,新一代网络钓鱼可能利用浏览器漏洞,在网友造访合法网站的同时跳出一个伪造的视窗让使用者步入网络钓鱼的陷阱。
网络钓鱼是近年来黑客搜集使用者机密信息的手法之一,过去诈骗集团会先冒充装金融或其他网站寄出网络钓鱼电子邮件,诱骗用户在钓鱼网站上输入个人信息。
Trusteer表示,由于这些伪造邮件会被的ISP或用户自身拦阻,因此成功率大不如前。该公司的研究团队近来发现,采用in-session新型网络钓鱼的方式正在成为黑客中被大量采用。当使用者登入网上银行并完成所要执行的作业后,有时并不会马上关闭窗口,而且会继续浏览其他网站(这种情况大部分出现在网上购物的选择阶段)。这时可能跳出一个假冒该银行的视窗,要求使用者重新输入他们的帐号及密码,所持理由包括要求使用者填写满意度调查,参与推广活动,或是使用者在该网站登入过期要重新登入。
要进行in-session攻击有两大前提,首先黑客必须入侵合法的网站并嵌入恶意程序,其次是该恶意程序要能辨识出使用者登入的是哪个网站。专家认为,第一个条件很容易,因为迄今已有超过200万个合法网站曾被非法入侵,而所嵌入的恶意程序是用来搜寻使用者目前正登入哪些网上银行,而非下载恶意程序到使用者电脑上,因此不容易被检测到。相较于第一个要件,第二个要件困难得多,但并非不可能。
此外,浏览器的漏洞也将协助攻击者进行此类的攻击。Trusteer研究团队最近发现,市场上几乎所有主流浏览器都拥有同样的JavaScript的引擎漏洞。
该漏洞的产生是来自一个特定的JavaScript的功能,当该功能被调用时便会在使用者电脑上留下记录,而且其他网站亦能追踪这些纪录,许多金融网站、零售网站以及社交网站都使用该功能并可被追踪。
在in-session的攻击情境中,黑客选择入侵的并不是安全性较高的金融网站,而是一般的合法网站,然后嵌入可监测使用者是否正在登入金融网站的恶意程序,如果使用者登入金融网站的同时造访这些已被黑客入侵的网站,攻击者便能送出一个伪装是该金融网站的提醒视窗,要求使用者重新输入帐号及密码,使用者分不清楚该跳出式视窗究竟是哪个网站送出的,就可能掉进陷阱。
对于新一代的网钓手法,安全专家建议使用者要部署浏览器安全工具,在浏览其他网站前务必要关闭金融网站或其他重要的线上应用程式视窗,对未点击而主动跳出的视窗要特别小心。