[新聞] 新釣魚攻擊「瀏覽器中的瀏覽器」竊取玩家

作者: wizardfizban (瘋法師)   2022-09-14 18:51:18
新釣魚攻擊「瀏覽器中的瀏覽器」竊取玩家Steam帳號,安全專家提醒注意
https://www.4gamers.com.tw/news/detail/55066/
全球擁有超過 1.2 億玩家數的 Steam 平台,因許多遊戲的虛擬物品在市集交易有利可圖
,一直是網路釣魚攻擊的重點目標,而海外網路安全組織 CERT-GIB 近日公開一種全新的
網路釣魚技術「瀏覽器中的瀏覽器」(browser-in-the-browser),能夠成功偽造 SSL
憑證並騙取玩家帳號資訊,呼籲玩家與 Valve 特別注意。
這個「瀏覽器中的瀏覽器」手方為網路研究員 mr.d0x 在 2022 年春季所發現,簡單來說
,這些駭客利用釣魚資源創造一個彈出式的帳號登入視窗,從外表上該視窗與真實的登入
視窗沒有區別,而玩家透過該視窗輸入的帳號資訊即會被竊取。
根據 CERT-GIB 描述,不法份子會先建立目前許多當紅遊戲電競賽事活動網頁,像是《
CS:GO》、《PUBG》等作品,這些網頁都是安全的,但該網頁會誘使玩家登入並連結
Steam 或其他遊戲帳號,而點擊登入所彈出的登入視窗則是駭客們所假造的。
在防範一般的傳統釣魚攻擊時,通常會以 URL 網址是否正確,同時也會確認網址旁的綠
色鎖頭符號,即為 SSL 憑證來證明其安全性。
然而,這個「瀏覽器中的瀏覽器」手法卻繞過這個限制。一開始玩家進入的詐騙網頁是合
法安全的,但是點擊該網頁連結所彈出的瀏覽器視窗卻是偽造的,而且該瀏覽器能夠偽造
SSL 憑證,且你在 URL 看不出什麼區別。
換言之,一般的瀏覽器安全架構防得住表面第一層,但彈出式瀏覽器安全性則有嚴重漏洞
,當玩家信以為真,認為登入視窗是合法安全之際輸入帳號資訊,他們就得手了。該手法
甚至也能應用在 Google、Facebook、Twitter 等其他 SNS 平台的登入。
CERT-GIB 揭露這些詐騙網頁的連結經常透過其他 SNS 平台散播,你可能在 YouTube 某
個頻道的短網址就點進去,然後被詐騙活動網頁誘使去登入遊戲帳號,因此無論如何,不
要點擊不信任的來源的連結,也需要仔細過濾 SNS 通知消息或電子郵件,避免落入新釣
魚攻擊的圈套。
====
詐騙技術越來越厲害了....
這招真的厲害。
作者: speed7022 (Speed7022)   2022-09-14 18:52:00
也有discord的版本,真的可怕
作者: oldriver (oldriver)   2022-09-14 18:54:00
這什麼雙重超靈體
作者: mkcg5825 (比叡我老婆)   2022-09-14 18:54:00
作者: Xpwa563704ju (coolcookies)   2022-09-14 18:55:00
這三小
作者: hayate232 (CY)   2022-09-14 19:02:00
這很久了吧..楓之谷就是阿 不過有開擋廣告看不到而且輸入帳號密碼的人警覺性也太低了吧XD
作者: speed7022 (Speed7022)   2022-09-14 19:03:00
作者: h0103661 (路人喵)   2022-09-14 19:05:00
樓上上可能誤會了,這個不是真的彈窗
作者: hayate232 (CY)   2022-09-14 19:05:00
DC的 是真的很容易被騙
作者: horseorange (橘小馬)   2022-09-14 19:06:00
那個真的做的蠻像的
作者: hayate232 (CY)   2022-09-14 19:06:00
最近 DC超多這種然後被盜,繼續傳給別群
作者: h0103661 (路人喵)   2022-09-14 19:06:00
他是畫一個假的畫面在網頁中,所以一般的擋彈窗沒用
作者: OrzVSTO (黑色盡頭)   2022-09-14 19:08:00
這種不是從小就有了嗎?當時還被教導要注意網址
作者: h0103661 (路人喵)   2022-09-14 19:09:00
不是,看網址沒用,畫出來的"網頁"網址當然跟真的一樣https://i.imgur.com/4qMf7qk.jpg就像這樣,有憑證,網址也100%對
作者: hayate232 (CY)   2022-09-14 19:09:00
他連網址都畫出來 所以 在DC很容易被騙
作者: nomorethings (水樹奈々様最高!!)   2022-09-14 19:11:00
滑鼠不去確認能不能點這也是很厲害
作者: scott032 (yoyoyo)   2022-09-14 19:12:00
從不登出 連帳密都快忘了 看來是防盜的最好方法
作者: k12795 (遠遠)   2022-09-14 19:13:00
就那麼多人被騙 也不用什麼厲害不厲害的拿優越==
作者: setetsfe (LYY)   2022-09-14 19:22:00
國小就有了,現在Google還會提醒你那些帳密已被流出
作者: spfy (spfy)   2022-09-14 19:25:00
這種方式一直再進化 永遠要小心 誰知道那天就是自己中標
作者: shintz (Snow halation)   2022-09-14 19:25:00
瀏覽器in瀏覽器 很潮的感覺
作者: s540421 (虫它虫它)   2022-09-14 19:29:00
就手刻一個假視窗讓你以為是正常的登入視窗
作者: arcanite (不問歲月任風歌)   2022-09-14 19:40:00
所以不是真的彈出式視窗 而是畫的?
作者: smart0eddie (smart0eddie)   2022-09-14 19:49:00
..
作者: WLR (WLR™)   2022-09-14 19:51:00
就像在地上畫的3D洞那樣,讓人信以為真
作者: oread168 (大地的精靈R)   2022-09-14 19:51:00
強迫輸入帳密症候群
作者: Amulet1 (AmuletHeart)   2022-09-14 20:03:00
畫的XD
作者: Godist (格底斯特)   2022-09-14 20:08:00
很久了,但假的視窗不夠完整,點進去確認一下還是能分辨的出來,從工具列也能看出沒有新視窗。另外有用密碼工具保存密碼的話,沒自動輸入密碼也能看出問題
作者: ks007 (kksskk)   2022-09-14 20:28:00
???
作者: Risedo (進 化)   2022-09-14 21:18:00
每次上網頁steam都要重登入 真怕哪天燈到假的
作者: mc3308321 (阿阿阿阿)   2022-09-14 22:02:00
就是長得非常像包括網站列都複製貼上,但不是彈出視窗。利用使用者的習慣跟肌肉記憶落套?越簡單的陷阱越好亂槍打鳥
作者: u5b890402 (u5b890402)   2022-09-14 23:16:00
這些駭客真的很有創意

Links booklink

Contact Us: admin [ a t ] ucptt.com