曝黑客新型钓鱼攻击手法：利用虚假弹窗登录页 苹果浏览器风险最高

近日，安全公司SquareX发文披露了一种名为“Browser in the Middle”的新型钓鱼攻击手法，能让黑客在暗中窃取用户的账号密码等敏感信息。

据介绍，“Browser in the Middle”属于中间人攻击的一种，该手法通过伪造弹窗登录页，诱使用户输入账号密码，从而窃取敏感信息。

目前业界主流的Chrome、Edge、Safari浏览器都存在设计缺陷，黑客可以利用浏览器的Fullscreen API，将相应弹窗登录页设置为“全屏显示”，这样就能隐藏URL，增加欺骗性。

研究人员指出，目前各大浏览器的Fullscreen API并未明确规定第三方网站该如何触发全屏，因此黑客可以在相应钓鱼弹窗中加入一个假的“登录”按钮。

用户在点击后就会被偷偷切换到全屏，进而降低用户关闭全屏查看核对URL的概率。

研究人员还指出，苹果Safari浏览器风险最高，因其全屏切换无提示。

而Chromium内核浏览器（如Chrome、Edge）虽有短暂提示，但也只会短暂显示几秒，用户难以注意到。

[超站]友情链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/