PTT
Submit
Submit
選擇語言
正體中文
简体中文
PTT
C_Chat
[新聞] 新釣魚攻擊「瀏覽器中的瀏覽器」竊取玩家
作者:
wizardfizban
(瘋法師)
2022-09-14 18:51:18
新釣魚攻擊「瀏覽器中的瀏覽器」竊取玩家Steam帳號,安全專家提醒注意
https://www.4gamers.com.tw/news/detail/55066/
全球擁有超過 1.2 億玩家數的 Steam 平台,因許多遊戲的虛擬物品在市集交易有利可圖
,一直是網路釣魚攻擊的重點目標,而海外網路安全組織 CERT-GIB 近日公開一種全新的
網路釣魚技術「瀏覽器中的瀏覽器」(browser-in-the-browser),能夠成功偽造 SSL
憑證並騙取玩家帳號資訊,呼籲玩家與 Valve 特別注意。
這個「瀏覽器中的瀏覽器」手方為網路研究員 mr.d0x 在 2022 年春季所發現,簡單來說
,這些駭客利用釣魚資源創造一個彈出式的帳號登入視窗,從外表上該視窗與真實的登入
視窗沒有區別,而玩家透過該視窗輸入的帳號資訊即會被竊取。
根據 CERT-GIB 描述,不法份子會先建立目前許多當紅遊戲電競賽事活動網頁,像是《
CS:GO》、《PUBG》等作品,這些網頁都是安全的,但該網頁會誘使玩家登入並連結
Steam 或其他遊戲帳號,而點擊登入所彈出的登入視窗則是駭客們所假造的。
在防範一般的傳統釣魚攻擊時,通常會以 URL 網址是否正確,同時也會確認網址旁的綠
色鎖頭符號,即為 SSL 憑證來證明其安全性。
然而,這個「瀏覽器中的瀏覽器」手法卻繞過這個限制。一開始玩家進入的詐騙網頁是合
法安全的,但是點擊該網頁連結所彈出的瀏覽器視窗卻是偽造的,而且該瀏覽器能夠偽造
SSL 憑證,且你在 URL 看不出什麼區別。
換言之,一般的瀏覽器安全架構防得住表面第一層,但彈出式瀏覽器安全性則有嚴重漏洞
,當玩家信以為真,認為登入視窗是合法安全之際輸入帳號資訊,他們就得手了。該手法
甚至也能應用在 Google、Facebook、Twitter 等其他 SNS 平台的登入。
CERT-GIB 揭露這些詐騙網頁的連結經常透過其他 SNS 平台散播,你可能在 YouTube 某
個頻道的短網址就點進去,然後被詐騙活動網頁誘使去登入遊戲帳號,因此無論如何,不
要點擊不信任的來源的連結,也需要仔細過濾 SNS 通知消息或電子郵件,避免落入新釣
魚攻擊的圈套。
====
詐騙技術越來越厲害了....
這招真的厲害。
作者:
speed7022
(Speed7022)
2022-09-14 18:52:00
也有discord的版本,真的可怕
作者:
oldriver
(oldriver)
2022-09-14 18:54:00
這什麼雙重超靈體
作者:
mkcg5825
(比叡我老婆)
2022-09-14 18:54:00
怕
作者:
Xpwa563704ju
(coolcookies)
2022-09-14 18:55:00
這三小
作者:
hayate232
(CY)
2022-09-14 19:02:00
這很久了吧..楓之谷就是阿 不過有開擋廣告看不到而且輸入帳號密碼的人警覺性也太低了吧XD
作者:
speed7022
(Speed7022)
2022-09-14 19:03:00
https://youtu.be/uS9h24IKKb0
DC的長這樣
作者:
h0103661
(路人喵)
2022-09-14 19:05:00
樓上上可能誤會了,這個不是真的彈窗
作者:
hayate232
(CY)
2022-09-14 19:05:00
DC的 是真的很容易被騙
作者:
horseorange
(橘小馬)
2022-09-14 19:06:00
那個真的做的蠻像的
作者:
hayate232
(CY)
2022-09-14 19:06:00
最近 DC超多這種然後被盜,繼續傳給別群
作者:
h0103661
(路人喵)
2022-09-14 19:06:00
他是畫一個假的畫面在網頁中,所以一般的擋彈窗沒用
作者:
OrzVSTO
(黑色盡頭)
2022-09-14 19:08:00
這種不是從小就有了嗎?當時還被教導要注意網址
作者:
h0103661
(路人喵)
2022-09-14 19:09:00
不是,看網址沒用,畫出來的"網頁"網址當然跟真的一樣
https://i.imgur.com/4qMf7qk.jpg
就像這樣,有憑證,網址也100%對
作者:
hayate232
(CY)
2022-09-14 19:09:00
他連網址都畫出來 所以 在DC很容易被騙
作者:
nomorethings
(水樹奈々様最高!!)
2022-09-14 19:11:00
滑鼠不去確認能不能點這也是很厲害
作者:
scott032
(yoyoyo)
2022-09-14 19:12:00
從不登出 連帳密都快忘了 看來是防盜的最好方法
作者:
k12795
(遠遠)
2022-09-14 19:13:00
就那麼多人被騙 也不用什麼厲害不厲害的拿優越==
作者:
setetsfe
(LYY)
2022-09-14 19:22:00
國小就有了,現在Google還會提醒你那些帳密已被流出
作者:
spfy
(spfy)
2022-09-14 19:25:00
這種方式一直再進化 永遠要小心 誰知道那天就是自己中標
作者:
shintz
(Snow halation)
2022-09-14 19:25:00
瀏覽器in瀏覽器 很潮的感覺
作者:
s540421
(虫它虫它)
2022-09-14 19:29:00
就手刻一個假視窗讓你以為是正常的登入視窗
作者:
arcanite
(不問歲月任風歌)
2022-09-14 19:40:00
所以不是真的彈出式視窗 而是畫的?
作者:
smart0eddie
(smart0eddie)
2022-09-14 19:49:00
..
作者:
WLR
(WLR™)
2022-09-14 19:51:00
就像在地上畫的3D洞那樣,讓人信以為真
作者:
oread168
(大地的精éˆR)
2022-09-14 19:51:00
強迫輸入帳密症候群
作者:
Amulet1
(AmuletHeart)
2022-09-14 20:03:00
畫的XD
作者:
Godist
(格底斯特)
2022-09-14 20:08:00
很久了,但假的視窗不夠完整,點進去確認一下還是能分辨的出來,從工具列也能看出沒有新視窗。另外有用密碼工具保存密碼的話,沒自動輸入密碼也能看出問題
作者:
ks007
(kksskk)
2022-09-14 20:28:00
???
作者:
Risedo
(進 化)
2022-09-14 21:18:00
每次上網頁steam都要重登入 真怕哪天燈到假的
作者:
mc3308321
(阿阿阿阿)
2022-09-14 22:02:00
就是長得非常像包括網站列都複製貼上,但不是彈出視窗。利用使用者的習慣跟肌肉記憶落套?越簡單的陷阱越好亂槍打鳥
作者:
u5b890402
(u5b890402)
2022-09-14 23:16:00
這些駭客真的很有創意
繼續閱讀
[討論] 鍊金工房系列25周年紀念番組 第一回
k960608
[情報] 人中之龍7外傳 英雄無名
gino861027
[閒聊] 刃牙是一直都很紅嗎?
YiGangYiTiao
Re: [閒聊] 戰鬥女子學園當年為何會倒
herbert0716
[情報] 巴哈商城新增多款NS新作預購
horseorange
[閒聊] 普烏篇 悟空和比克說這句話時在想什麼?
kawhidurantt
[光榮] 日本幕末時代為舞台《浪人崛起》新作釋出
Napoleon313
[手遊] 救世者之樹改編MMORPG:救世者之樹M
SuperSg
[情報] FGO新角-四星山南敬助、五星千利休
jerry00116
Re: [閒聊] 死神跟其他王道漫畫的本質差別是啥
a86425380
顔出しMM号 女子大生限定 ザ・マジックミラー 勝てば100万円!負ければ即ハメ!日米対抗野球拳!海外デカち○ぽをぶち込まれ何度イってもやめてくれないガン突きピストン!全員生中出し!!
働く美熟女のうっとりチ○ポ鑑賞SP 熟練の手業口業に大量精子搾取!! 1050分 10枚組
【VR】目の前の爆乳に挟まれたい…アナタはそのパイズリに我慢できない。チ●ポをトロットロにするおっぱいビッチVR 夢乃あいか
汗だくで絶頂を繰り返す健康的でエッチな身体…一心不乱に没頭する濃密体液SEX 星乃莉子
制服・貧乳・巨乳の美少女たち2262分
Links
booklink
Contact Us: admin [ a t ] ucptt.com