[新闻] 新钓鱼攻击“浏览器中的浏览器”窃取玩家

楼主: wizardfizban (疯法师)   2022-09-14 18:51:18
新钓鱼攻击“浏览器中的浏览器”窃取玩家Steam帐号,安全专家提醒注意
https://www.4gamers.com.tw/news/detail/55066/
全球拥有超过 1.2 亿玩家数的 Steam 平台,因许多游戏的虚拟物品在市集交易有利可图
,一直是网络钓鱼攻击的重点目标,而海外网络安全组织 CERT-GIB 近日公开一种全新的
网络钓鱼技术“浏览器中的浏览器”(browser-in-the-browser),能够成功伪造 SSL
凭证并骗取玩家帐号资讯,呼吁玩家与 Valve 特别注意。
这个“浏览器中的浏览器”手方为网络研究员 mr.d0x 在 2022 年春季所发现,简单来说
,这些骇客利用钓鱼资源创造一个弹出式的帐号登入视窗,从外表上该视窗与真实的登入
视窗没有区别,而玩家透过该视窗输入的帐号资讯即会被窃取。
根据 CERT-GIB 描述,不法份子会先建立目前许多当红游戏电竞赛事活动网页,像是《
CS:GO》、《PUBG》等作品,这些网页都是安全的,但该网页会诱使玩家登入并连结
Steam 或其他游戏帐号,而点击登入所弹出的登入视窗则是骇客们所假造的。
在防范一般的传统钓鱼攻击时,通常会以 URL 网址是否正确,同时也会确认网址旁的绿
色锁头符号,即为 SSL 凭证来证明其安全性。
然而,这个“浏览器中的浏览器”手法却绕过这个限制。一开始玩家进入的诈骗网页是合
法安全的,但是点击该网页连结所弹出的浏览器视窗却是伪造的,而且该浏览器能够伪造
SSL 凭证,且你在 URL 看不出什么区别。
换言之,一般的浏览器安全架构防得住表面第一层,但弹出式浏览器安全性则有严重漏洞
,当玩家信以为真,认为登入视窗是合法安全之际输入帐号资讯,他们就得手了。该手法
甚至也能应用在 Google、Facebook、Twitter 等其他 SNS 平台的登入。
CERT-GIB 揭露这些诈骗网页的连结经常透过其他 SNS 平台散播,你可能在 YouTube 某
个频道的短网址就点进去,然后被诈骗活动网页诱使去登入游戏帐号,因此无论如何,不
要点击不信任的来源的连结,也需要仔细过滤 SNS 通知消息或电子邮件,避免落入新钓
鱼攻击的圈套。
====
诈骗技术越来越厉害了....
这招真的厉害。
作者: speed7022 (Speed7022)   2022-09-14 18:52:00
也有discord的版本,真的可怕
作者: oldriver (oldriver)   2022-09-14 18:54:00
这什么双重超灵体
作者: mkcg5825 (比叡我老婆)   2022-09-14 18:54:00
作者: Xpwa563704ju (coolcookies)   2022-09-14 18:55:00
这三小
作者: hayate232 (CY)   2022-09-14 19:02:00
这很久了吧..枫之谷就是阿 不过有开挡广告看不到而且输入帐号密码的人警觉性也太低了吧XD
作者: speed7022 (Speed7022)   2022-09-14 19:03:00
作者: h0103661 (路人喵)   2022-09-14 19:05:00
楼上上可能误会了,这个不是真的弹窗
作者: hayate232 (CY)   2022-09-14 19:05:00
DC的 是真的很容易被骗
作者: horseorange (橘小马)   2022-09-14 19:06:00
那个真的做的蛮像的
作者: hayate232 (CY)   2022-09-14 19:06:00
最近 DC超多这种然后被盗,继续传给别群
作者: h0103661 (路人喵)   2022-09-14 19:06:00
他是画一个假的画面在网页中,所以一般的挡弹窗没用
作者: OrzVSTO (黑色尽头)   2022-09-14 19:08:00
这种不是从小就有了吗?当时还被教导要注意网址
作者: h0103661 (路人喵)   2022-09-14 19:09:00
不是,看网址没用,画出来的"网页"网址当然跟真的一样https://i.imgur.com/4qMf7qk.jpg就像这样,有凭证,网址也100%对
作者: hayate232 (CY)   2022-09-14 19:09:00
他连网址都画出来 所以 在DC很容易被骗
作者: nomorethings (水树奈々様最高!!)   2022-09-14 19:11:00
鼠标不去确认能不能点这也是很厉害
作者: scott032 (yoyoyo)   2022-09-14 19:12:00
从不登出 连帐密都快忘了 看来是防盗的最好方法
作者: k12795 (远远)   2022-09-14 19:13:00
就那么多人被骗 也不用什么厉害不厉害的拿优越==
作者: setetsfe (LYY)   2022-09-14 19:22:00
国小就有了,现在Google还会提醒你那些帐密已被流出
作者: spfy (spfy)   2022-09-14 19:25:00
这种方式一直再进化 永远要小心 谁知道那天就是自己中标
作者: shintz (Snow halation)   2022-09-14 19:25:00
浏览器in浏览器 很潮的感觉
作者: s540421 (虫它虫它)   2022-09-14 19:29:00
就手刻一个假视窗让你以为是正常的登入视窗
作者: arcanite (不问岁月任风歌)   2022-09-14 19:40:00
所以不是真的弹出式视窗 而是画的?
作者: smart0eddie (smart0eddie)   2022-09-14 19:49:00
..
作者: WLR (WLR™)   2022-09-14 19:51:00
就像在地上画的3D洞那样,让人信以为真
作者: oread168 (大地的精靈R)   2022-09-14 19:51:00
强迫输入帐密症候群
作者: Amulet1 (AmuletHeart)   2022-09-14 20:03:00
画的XD
作者: Godist (格底斯特)   2022-09-14 20:08:00
很久了,但假的视窗不够完整,点进去确认一下还是能分辨的出来,从工具列也能看出没有新视窗。另外有用密码工具保存密码的话,没自动输入密码也能看出问题
作者: ks007 (kksskk)   2022-09-14 20:28:00
???
作者: Risedo (进 化)   2022-09-14 21:18:00
每次上网页steam都要重登入 真怕哪天灯到假的
作者: mc3308321 (阿阿阿阿)   2022-09-14 22:02:00
就是长得非常像包括网站列都复制贴上,但不是弹出视窗。利用使用者的习惯跟肌肉记忆落套?越简单的陷阱越好乱枪打鸟
作者: u5b890402 (u5b890402)   2022-09-14 23:16:00
这些骇客真的很有创意

Links booklink

Contact Us: admin [ a t ] ucptt.com