作为老生常谈的话题, *** 钓鱼依然是攻击者最热衷使用、且最行之有效的攻击 *** 之一。即使是久经考验的资深用户,在面对层出不穷的钓鱼手段有时候也可能会中招。近日,安全研究员拉斐·巴洛赫(Rafay Baloch)发现浏览器的反 *** 钓鱼功能(通常是 *** 钓鱼受害者最后一道防线)并不完美。
他在某些使用最广泛的移动浏览器(包括Apple的Safari,Opera和Yandex)中发现了多个漏洞,而利用这些漏洞,攻击者将能够诱骗浏览器显示与用户实际访问网站不同的网址。这些地址栏欺骗错误使攻击者更容易使其仿冒网站看起来像合法网站,从而为试图窃取密码的人创造了完美的条件。
这些漏洞主要是利用浏览器加载页面所需要的时间间隙期起作用的。一旦诱骗受害者打开 *** 钓鱼电子邮件或短信的链接,恶意网页就会使用该网页上隐藏的代码,将浏览器地址栏中的恶意网址有效替换为攻击者选择的任何其他网址。
在某些情况下,容易受到攻击的浏览器保留了绿色的挂锁图标,表示带有欺骗性网址的恶意网页是合法的。Rapid7 的研究主管 Tod Beardsley 帮助 Baloch 向每个浏览器制造商披露了漏洞,他说地址栏欺骗攻击使移动用户面临特别的风险。
他表示:
在移动设备上,屏幕所显示的空间绝对是溢价的,因此每英寸都是非常重要的,所以没有足够的空间来放置安全信号。在台式机浏览器上,您既可以查看自己所处的链接,也可以将鼠标悬停在链接上以查看要去的地方,甚至单击锁以获取证书详细信息。
这些额外的资源实际上并不存在于移动设备上,因此,位置栏不仅可以告诉用户他们正在访问哪个网站,而且还可以明确地并确定地告诉用户。如果您使用的是palpay.com而不是预期的paypal.com,则可能会注意到这一点,并在输入密码之前知道自己在虚假网站上。这样的欺骗性攻击使位置栏变得模棱两可,从而使攻击者能够对其假站点产生一定的信任度和信任度。
到目前为止,只有Apple和Yandex在9月和10月推出了修复程序。 Opera发言人Julia Szyndzielorz表示,其Opera Touch和Opera Mini浏览器的修复程序“正在逐步推出”。
但是UC浏览器,Bolt浏览器和RITS浏览器的制造商(总共安装了超过6亿个设备)没有对研究人员做出回应,并没有修补漏洞。
(消息来源:cnbeta,封面来自 *** )
Hackernews 编译,转载请注明出处: Mozilla 在其 Firefox 浏览器中加入了带外数据软件升级,包含了两个高影响力的安全漏洞。 Mozilla 称,这两个漏洞正在被大肆利用。 标记为 cve-2022-26485和 cve-2022-26486的零日漏洞被描述为影响 XSLT ...
Hackernews编译,转载请注明出处: 一个企业网络间谍黑客组织在消失了7个月后重新浮出水面,今年它针对4家公司进行新入侵行动,其中包括俄罗斯最大的批发商店之一,同时对其工具集进行了战术性改进,以试图阻挠分析。 Group-IB 的伊万 · 皮萨列夫说: “在每一次攻击中,攻击者都展示了广泛的...
在美国遭受多次利用开源软件漏洞的攻击后,包括苹果在内的科技公司高管将于周四参加白宫的网络安全会议。1月13日星期四的会议是由于发现了开源Log4j软件的漏洞而专门召开的,该软件在国际上被用于应用程序的数据记录。 白宫国家安全顾问杰克-沙利文在12月写信给大科技公司的首席执行官,说这种开源软件是一个”...
2021年CVE回顾: 时间飞逝,转眼间来到了2022年。新的一年即将开始,让我们来回顾一下2021年的物联网设备CVE情况。 2021年CVSSV3平均值为5.5,2020年CVSSV3平均值为6.1,同比去年下降0.6。 通过平均值的对比,我们可以清楚的看到各大厂商在2021年对物联网安全的重视...
美国联邦调查局(FBI)刚刚通报了一起高级持续性威胁(APT)事件,可知黑客利用了未经修补的 Fortinet 网络设备中的漏洞,对市级政府机构的网络造成破坏。由 FBI 官网披露的行业警报可知,有关部门在 2021 年 5 月检测到了入侵迹象。 其实早在 2021 年 4 月打上了另一款 For...
据外媒报道,美国主要燃油、燃气管道运营商Colonial Pipeline此前遭到黑客攻击–这使东海岸的石油供应中断了近两周–这既是灾难性的,也是可以预防的。然而,美国国土安全部(DHS)的一个部门希望通过改变 Colonial公司和管道行业其他公司的网络安全和信息披露规则来纠正这一问题。 正如《华...