網(wǎng)絡(luò)釣魚作為網(wǎng)絡(luò)安全的第一大危害，已經(jīng)到了老鼠過街人人喊打的地步。無數(shù)的用戶和安全產(chǎn)品廠商利用各種技術(shù)，試圖進(jìn)行封殺。但就在戰(zhàn)爭(zhēng)進(jìn)行的水深火熱的地步時(shí)，一種新型的網(wǎng)絡(luò)釣魚技術(shù)：在線釣魚又亮出了它的殺機(jī)。

安全廠商Trusteer的研究人員表示，近日黑客利用所有主流瀏覽器中存在的一個(gè)漏洞發(fā)起新型攻擊，被稱為“在線釣魚攻擊(in-session phishing)”，這種攻擊能夠幫助黑客輕而易舉地竊取網(wǎng)上銀行電子證書。

在線釣魚攻擊幫助釣魚攻擊者解決了發(fā)動(dòng)釣魚攻擊的最大問題，即如何竊取更多銀行帳戶信息。在傳統(tǒng)的釣魚攻擊中，攻擊者通常會(huì)發(fā)送出數(shù)以百萬計(jì)的偽裝電子郵件，讓用戶以為這些電子郵件是來自合法公司，如銀行或者網(wǎng)上支付公司。這些郵件信息往往會(huì)被垃圾郵件過濾軟件攔截，所以成功率不會(huì)很高。有了在線釣魚攻擊，攻擊者不需要再使用發(fā)送電子郵件的方式，取而代之的是彈出瀏覽器窗口。

讓我們看看這種在線釣魚攻擊是如何發(fā)生的：黑客們首先會(huì)攻擊一個(gè)合法網(wǎng)站，然后植入HTML代碼，使網(wǎng)站自動(dòng)彈出類似安全警告的窗口，然后用戶登陸網(wǎng)站時(shí)該彈出窗口就會(huì)要求用戶輸入密碼和登錄信息，或者要求用戶回答其他銀行用來核實(shí)用戶身份的安全問題。

對(duì)于攻擊者而言，最困難的部分就是要讓用戶相信彈出通知窗口是安全合法的，不過這也不難，因?yàn)樗兄髁鳛g覽器的JavaScript引擎中存在的一個(gè)漏洞恰好能夠助在線釣魚攻擊者一臂之力，Trusteer公司的首席技術(shù)官Amit Klein表示，這個(gè)漏洞能夠提高攻擊者的成功率。

Klein表示，他通過研究瀏覽器使用JavaScript的方式，已經(jīng)發(fā)現(xiàn)了一種方法可以鑒定用戶是否登錄到某網(wǎng)站，只要使用某種JavaScript函數(shù)，Klein表示將不會(huì)公布這個(gè)函數(shù)功能，以防在線釣魚攻擊者向該漏洞發(fā)起攻擊，不過Klein已經(jīng)告知瀏覽器供應(yīng)商并預(yù)計(jì)這個(gè)漏洞很快將得到修復(fù)。

在此之前，如果攻擊者發(fā)現(xiàn)了這個(gè)安全漏洞，就能夠?qū)懭氪a來檢查是否有網(wǎng)民登錄到銀行網(wǎng)站。“不僅僅通過這個(gè)隨機(jī)彈出釣魚信息，在線釣魚攻擊者還可以通過探測(cè)來發(fā)現(xiàn)用戶是否在登錄金融機(jī)構(gòu)網(wǎng)站以進(jìn)行更復(fù)雜的攻擊。”他表示。

“事實(shí)上，只要用戶在線就可能收到釣魚信息，”Klein補(bǔ)充說道。

安全研究人員已經(jīng)研究出其他方法來識(shí)別受害者是否正登錄到某個(gè)網(wǎng)站，但信息也不是完全可靠，Klein表示他的方法不是完全可行的，但是可以在很多網(wǎng)站使用，包括銀行、購(gòu)物網(wǎng)站、游戲和社交網(wǎng)站等。

【編輯推薦】

1. 網(wǎng)絡(luò)釣魚需要多方治理
2. 調(diào)查問卷也成網(wǎng)絡(luò)釣魚陷阱
3. 網(wǎng)絡(luò)釣魚 微博可能成為主要途徑
4. 實(shí)例解析淘寶網(wǎng)絡(luò)釣魚二重詐騙
5. 網(wǎng)絡(luò)釣魚又見新招 支付寶也不能保證安全