安全厂商Trusteer的研究人员表示,近日黑客利用所有主流浏览器中存在的一个漏洞发起新型攻击,被称为“在线钓鱼攻击(in-session phishing)”,这种攻击能够帮助黑客轻而易举地窃取网上银行电子证书。
在线钓鱼攻击帮助钓鱼攻击者解决了发动钓鱼攻击的最大问题,即如何窃取更多银行帐户信息。在传统的钓鱼攻击中,攻击者通常会发送出数以百万计的伪装电子邮件,让用户以为这些电子邮件是来自合法公司,如银行或者网上支付公司。这些邮件信息往往会被垃圾邮件过滤软件拦截,所以成功率不会很高。有了在线钓鱼攻击,攻击者不需要再使用发送电子邮件的方式,取而代之的是弹出浏览器窗口。
让我们看看这种攻击是如何发生的:黑客们首先会攻击一个合法网站,然后植入HTML代码,使网站自动弹出类似安全警告的窗口,然后用户登陆网站时该弹出窗口就会要求用户输入密码和登录信息,或者要求用户回答其他银行用来核实用户身份的安全问题。
对于攻击者而言,最困难的部分就是要让用户相信弹出通知窗口是安全合法的,不过这也不难,因为所有主流浏览器的JavaScript引擎中存在的一个漏洞恰好能够助攻击者一臂之力,Trusteer公司的首席技术官Amit Klein表示,这个漏洞能够提高攻击者的成功率。
Klein表示,他通过研究浏览器使用JavaScript的方式,已经发现了一种方法可以鉴定用户是否登录到某网站,只要使用某种JavaScript函数,Klein表示将不会公布这个函数功能,以防攻击者向该漏洞发起攻击,不过Klein已经告知浏览器供应商并预计这个漏洞很快将得到修复。
在此之前,如果攻击者发现了这个安全漏洞,就能够写入代码来检查是否有网民登录到银行网站。“不仅仅通过这个随机弹出钓鱼信息,攻击者还可以通过探测来发现用户是否在登录金融机构网站以进行更复杂的攻击。”他表示。
“事实上,只要用户在线就可能收到钓鱼信息,”Klein补充说道。
安全研究人员已经研究出其他方法来识别受害者是否正登录到某个网站,但信息也不是完全可靠,Klein表示他的方法不是完全可行的,但是可以在很多网站使用,包括银行、购物网站、游戏和社交网站等。
分享到:
相关推荐
《菜鸟也能防黑客之非技术攻击》就是向大家介绍这种方法。正如书名所述,这些方法并不是多么高深的技米,你也一样可以做到。看过《菜鸟也能防黑客之非技术攻击》之后,你会发现在非技术攻击面前,那些所谓的高科技...
黑客社会工程学攻击档案袋
黑客攻击实战入门pdf全
清华大学出版,北京大学网络管理与安全课程--黑客与网络攻击技术
这是一本学习网络安全的入门教材,通过生动的图片,详细的步骤,丰富的提示讲述了电脑黑客的常见行为。即使电脑基础为零的读者也能迅速把握黑客的伎俩。在黑客攻防的案例中,我们还对关键的技术问题。做出了必要的...
《黑客攻击实战入门》
使用交换机VLAN技术防止黑客进行漏洞攻击
如何不用碰键盘就能侵入邮件服务器吗?这不是魔幻大片,而是真真正正发生在我们身边。 我们都知道信息的重要性。随着计算机时代的来临,大量的信息以电子的形式存储。而用高科技的电子保护系统来保护信息也就是...
非法入侵一直危害着网络安全,计算机网络安全的威胁主要来自黑客攻击、计算机病毒和拒绝服务攻击3个方面.本文从黑客的攻击手段展开探讨,为个人电脑防范黑客给出一些应对措施以及防范的基本方法。 用pdf打开
本平台采用被动式的方式分析黑客攻击者画像,可扩展赋能蜜罐以及安全设备,将平台接口部署在蜜罐Web界面上即可,当攻击者访问所部署的Web界面即触发平台分析功能,对访问者进行分析,数据回传平台分析其网络身份、IP...
HTML-Email-Hacks, 为那些可爱的电子邮件客户提供一系列的HTML攻击 ...这个 repo 是所有的HTML电子邮件黑客,我们都依赖于这么多的活动,并且感到美丽美观。链接和有用的工具响应的电子邮件资源:www.Respon
黑客攻击防范方法分析论文.doc
在万物智能互联的时代,我们生活的世界,越来越多的产品趋于“无形”——即无法触摸到的软件和其它数字内容。当机器设备被赋予更多的智能,高度自动化、自主运转的工厂将人力大量...本文介绍常见工控安全黑客攻击手段。
非技术攻击 菜鸟也能防黑客,一些简单的使用的方法,简单
在使用互联网的过程中不可避免的会遇到各种黑客,他们无时无刻不在窥视着互联网上的计算机,或盗取情报,或谋取非法利益,或炫耀能力...本文通过对黑客攻击流程的探讨,为网络安全中对黑客的防范提供了一定的参考价值。
web安全措施.你写的WEB API接口如何预防黑客攻击 现在WEB开发都是动静分离 后端编写API接口 那如何防止黑客攻击你的HTTP API接口呢
内容涵盖:全面认识社会工程学、无所不能的信息搜索、扫描工具应用实战、黑客常用入侵工具、商业窃密常用伎俩、诠释黑客的攻击方式、诠释网络钓鱼攻击方式、跨网站攻击技术、刨根问底挖掘用户隐私、真假莫辨的防范...
1、获得系统信息:有些漏洞可以泄漏系统信息,暴露敏感资料,从而进 一步入侵系统; 2、入侵系统:通过漏洞进入系统内部,或取得服务器上的内部资料、或完 全掌管服务器;
如何防范黑客攻击网络 防范黑客攻击家庭路由器的的方法.docx