一位昵称 mr.dox 的信息安全专家在 GitHub 上发布了一个网络钓鱼工具的代码,该工具允许浏览器中的浏览器攻击。它可用于在 Chrome 浏览器中创建假窗口,以拦截来自各种在线资源的凭据。
目前,许多网站不仅可以使用单独的登录名和密码登录,还可以通过社交网络中已经授权的帐户以及谷歌、微软等进行登录。在浏览器中的浏览器攻击中,授权时-在资源上,用户面前会出现一个假窗口,其中包含用于输入凭据的表单。它显示页面的正确 URL,但无法编辑,因为它旨在让受害者相信该页面是合法的。因此,在这样的虚假页面上输入凭据后,机密信息就会落入攻击者的手中。
请注意,过去,黑客曾多次尝试创建虚假授权窗口,但大多数情况下它们很容易与合法窗口区分开来。这一次,攻击者可以创建与真实窗口几乎无法区分的窗口。为此,您只需在已发布的模板中编辑 URL、窗口名称,并创建适当的 iframe 来显示窗口。授权窗口表单的 HTML 代码可以嵌入到模板中。
据消息人士称,这种攻击的技术并不是什么新鲜事。过去,攻击者曾成功利用这种策略建立虚假网站,让游戏玩家窃取道具
推荐阅读
免费试用尝鲜
贴心会员服务
服务可用性
数据安全保障
全年不间断在线
工作时间:早上9:00-下午6:30
河南快米云网络科技有限公司
公安备案编号:41010302002363
Copyright © 2010-2023 All Rights Reserved. 地址:河南自由贸易区开封片区经济开发区宋城路122号
