新釣魚攻擊「瀏覽器中的瀏覽器」竊取玩家Steam帳號，安全專家提醒注意
https://www.4gamers.com.tw/news/detail/55066/
全球擁有超過 1.2 億玩家數的 Steam 平台，因許多遊戲的虛擬物品在市集交易有利可圖
，一直是網路釣魚攻擊的重點目標，而海外網路安全組織 CERT-GIB 近日公開一種全新的
網路釣魚技術「瀏覽器中的瀏覽器」（browser-in-the-browser），能夠成功偽造 SSL
憑證並騙取玩家帳號資訊，呼籲玩家與 Valve 特別注意。
這個「瀏覽器中的瀏覽器」手方為網路研究員 mr.d0x 在 2022 年春季所發現，簡單來說
，這些駭客利用釣魚資源創造一個彈出式的帳號登入視窗，從外表上該視窗與真實的登入
視窗沒有區別，而玩家透過該視窗輸入的帳號資訊即會被竊取。
根據 CERT-GIB 描述，不法份子會先建立目前許多當紅遊戲電競賽事活動網頁，像是《
CS:GO》、《PUBG》等作品，這些網頁都是安全的，但該網頁會誘使玩家登入並連結
Steam 或其他遊戲帳號，而點擊登入所彈出的登入視窗則是駭客們所假造的。
在防範一般的傳統釣魚攻擊時，通常會以 URL 網址是否正確，同時也會確認網址旁的綠
色鎖頭符號，即為 SSL 憑證來證明其安全性。
然而，這個「瀏覽器中的瀏覽器」手法卻繞過這個限制。一開始玩家進入的詐騙網頁是合
法安全的，但是點擊該網頁連結所彈出的瀏覽器視窗卻是偽造的，而且該瀏覽器能夠偽造
SSL 憑證，且你在 URL 看不出什麼區別。
換言之，一般的瀏覽器安全架構防得住表面第一層，但彈出式瀏覽器安全性則有嚴重漏洞
，當玩家信以為真，認為登入視窗是合法安全之際輸入帳號資訊，他們就得手了。該手法
甚至也能應用在 Google、Facebook、Twitter 等其他 SNS 平台的登入。
CERT-GIB 揭露這些詐騙網頁的連結經常透過其他 SNS 平台散播，你可能在 YouTube 某
個頻道的短網址就點進去，然後被詐騙活動網頁誘使去登入遊戲帳號，因此無論如何，不
要點擊不信任的來源的連結，也需要仔細過濾 SNS 通知消息或電子郵件，避免落入新釣
魚攻擊的圈套。
====
詐騙技術越來越厲害了....
這招真的厲害。

也有discord的版本，真的可怕

這什麼雙重超靈體

怕

這三小

這很久了吧..楓之谷就是阿 不過有開擋廣告看不到而且輸入帳號密碼的人警覺性也太低了吧XD

https://youtu.be/uS9h24IKKb0DC的長這樣

樓上上可能誤會了，這個不是真的彈窗

DC的 是真的很容易被騙

那個真的做的蠻像的

最近 DC超多這種然後被盜，繼續傳給別群

他是畫一個假的畫面在網頁中，所以一般的擋彈窗沒用

這種不是從小就有了嗎？當時還被教導要注意網址

不是，看網址沒用，畫出來的"網頁"網址當然跟真的一樣https://i.imgur.com/4qMf7qk.jpg就像這樣，有憑證，網址也100%對

他連網址都畫出來 所以 在DC很容易被騙

滑鼠不去確認能不能點這也是很厲害

從不登出 連帳密都快忘了 看來是防盜的最好方法

就那麼多人被騙 也不用什麼厲害不厲害的拿優越==

國小就有了，現在Google還會提醒你那些帳密已被流出

這種方式一直再進化 永遠要小心 誰知道那天就是自己中標

瀏覽器in瀏覽器 很潮的感覺

就手刻一個假視窗讓你以為是正常的登入視窗

所以不是真的彈出式視窗 而是畫的?

..

就像在地上畫的3D洞那樣，讓人信以為真

強迫輸入帳密症候群

畫的XD

很久了，但假的視窗不夠完整，點進去確認一下還是能分辨的出來，從工具列也能看出沒有新視窗。另外有用密碼工具保存密碼的話，沒自動輸入密碼也能看出問題

???

每次上網頁steam都要重登入 真怕哪天燈到假的

就是長得非常像包括網站列都複製貼上，但不是彈出視窗。利用使用者的習慣跟肌肉記憶落套？越簡單的陷阱越好亂槍打鳥

這些駭客真的很有創意