以假乱真,新的网络钓鱼攻击针对iPhone用户

关注 2019-04-12 06:38:43 查看数 9081 ,评论数 0 资讯


在发现Facebook网络钓鱼活动窃取用户凭据数周后,研究人员发现了针对移动设备的类似网络钓鱼攻击。


Myki的Antoine Vincent Jebara再次确定了针对iPhone用户的攻击。研究人员详细说明了这项活动如何模仿网站的外观和设计,以诱骗iOS用户输入他们的Facebook凭据。


如何运作?


用户访问的网站与原始网站非常相似,研究人员的调查揭示了Airbnb网站的一个副本。


然后会向受害者发送一条假装来自Facebook的信息,以便让受害者访问该网站。


受害者访问该网站后,会出现假的iOS登录提示,要求用户填写其凭据以登录该站点。输入凭据后,该站点会通知用户帐户已被盗用。


异常真实的假页面


Jebara在他的博客中解释了该活动是如何伪造某些细节的。


此活动定位移动设备上的用户(特别是iOS设备,但也可以很容易地适应Android设备)。恶意页面提示用户使用从类似Airbnb的网站进行身份验证以登录Facebook,但可能是其他任何内容。


点击“用Facebook登录”按钮后,操作系统会提示用户是否确认用Facebook登录。然后Safari将启动一个新选项卡,并提示用户在Facebook上进行身份验证。


如果上述步骤都是合法的,那么它就不会是网络钓鱼活动。然而在这种特殊情况下,几乎所有东西都是假的。验证操作的提示是假的,它是HTML文档中的图像,只是看起来像iOS的提示信息。


Safari中的标签切换也是假的,它是用户确认用Facebook登录后立即播放的标签切换视频。


Facebook登录页面也是假的,是当前页面的叠加层,使其看起来像一个真实的Facebook页面。


从用户访问恶意网站的那一刻起,他们就在进行看似合法的行为,所有这些都是为了让他们放松警惕在攻击的最后阶段提交Facebook密码。


这种攻击在执行过程中漏洞百出,从流程和设计角度来看都存在多种缺陷。登录Facebook提示在Safari中显示为外部窗口,而不是用户切换到的附加选项卡,因为原始URL仍然以Facebook导航栏上的最小化形式显示。

虽然黑客可能会以更现实的方式实施此活动,但目前的形式是,大多数用户都会因此而受到攻击。


保护自己免受这些类型攻击的最有效方法是学会持怀疑态度,在输入登录凭据时多留几个心眼。


网络钓鱼依赖于用户向恶意方泄露敏感数据。为了做到这一点,黑客需要诱骗受害者提交他想要的信息。完全免受社会工程攻击是极其困难的,将一些基本保护机制(如使用唯一的强密码以及启用双因素身份验证)变成你的一种本能才是减轻损失的最佳方法。


在这种特殊情况下,使用密码管理器可以保护您免受攻击,因为支持iOS 12自动填充功能的密码管理器不会自动填充您的Facebook密码,这表明您的页面尝试进行身份验证是不合法的。

交流评论(0)
Loading...
点击 ,就能发表评论哦~如果您还没有账号,请 一个吧
css.php
正在加载中...