行動版 Chrome 被發現可以透過假網址欄來進行釣魚攻擊
以此手法炮製的網頁幾乎是看不出破綻的。
Lanmo Chang
18 分鐘前
有時網路攻擊者需要費心尋找技術上隱含的漏洞,才得以發起攻擊,
但有時卻不用那麼麻煩。日前一位開發人員 James Fisher 發現,在
行動版 Chrome 上其實只需要一張螢幕截圖,並輔以一些精巧的程式
碼,就能輕鬆實現釣魚攻擊。正常來說,當你開始向下瀏覽網頁時,
網址就會暫時縮起。但經 James Fisher 特殊設計的網頁,此時就會
顯示出假的網址欄。即便網頁向上滑動,它也能避免讓真正的網址欄
現身。如此用戶便無從察覺自己正身處釣魚的風險之中。
雖然 Fisher 這套手法主要是針對行動版 Chrome 所提出,但理論上
應該也能在一些其它瀏覽器中達成相同的作用。他也表示,其實只要
額外費心設計,假網址欄甚至還能擁有一些互動功能呢。例如,若一
位用戶識破了第一個造訪的釣魚網頁,當他選擇在假網址欄鍵入其它
網址(如 gmail.com)希望離開時,其實只是再度踏入了攻擊者的圈
套之中。
目前尚無法確認是否已有網路釣魚攻擊者採用這樣的手法,但如果你
不放心,9to5Google 團隊倒是提供了一個檢查方式。在瀏覽網頁時
,只要鎖定手機後再解鎖,就能強制顯示真正的網址欄。雖然這似乎
不是 100% 見效,但應多少還是能幫助到一些人吧。
https://engt.co/2VyxDhe
心得:
這可不是一件好事,現階段大家大概只能自己注意一下
至少說不要在假網址欄輸入網址,把分頁關掉再開一個應該就不用擔心這個問題
像我天天用這個行動版chrome瀏覽器,實在是首當其衝