作者wizardfizban (瘋法師)
看板Steam
標題Fw: [新聞] 新釣魚攻擊「瀏覽器中的瀏覽器」竊取玩家
時間Wed Sep 14 18:51:34 2022
新釣魚攻擊「瀏覽器中的瀏覽器」竊取玩家Steam帳號,安全專家提醒注意
https://www.4gamers.com.tw/news/detail/55066/
全球擁有超過 1.2 億玩家數的 Steam 平台,因許多遊戲的虛擬物品在市集交易有利可圖
,一直是網路釣魚攻擊的重點目標,而海外網路安全組織 CERT-GIB 近日公開一種全新的
網路釣魚技術「瀏覽器中的瀏覽器」(browser-in-the-browser),能夠成功偽造 SSL
憑證並騙取玩家帳號資訊,呼籲玩家與 Valve 特別注意。
這個「瀏覽器中的瀏覽器」手方為網路研究員 mr.d0x 在 2022 年春季所發現,簡單來說
,這些駭客利用釣魚資源創造一個彈出式的帳號登入視窗,從外表上該視窗與真實的登入
視窗沒有區別,而玩家透過該視窗輸入的帳號資訊即會被竊取。
根據 CERT-GIB 描述,不法份子會先建立目前許多當紅遊戲電競賽事活動網頁,像是《
CS:GO》、《PUBG》等作品,這些網頁都是安全的,但該網頁會誘使玩家登入並連結
Steam 或其他遊戲帳號,而點擊登入所彈出的登入視窗則是駭客們所假造的。
在防範一般的傳統釣魚攻擊時,通常會以 URL 網址是否正確,同時也會確認網址旁的綠
色鎖頭符號,即為 SSL 憑證來證明其安全性。
然而,這個「瀏覽器中的瀏覽器」手法卻繞過這個限制。一開始玩家進入的詐騙網頁是合
法安全的,但是點擊該網頁連結所彈出的瀏覽器視窗卻是偽造的,而且該瀏覽器能夠偽造
SSL 憑證,且你在 URL 看不出什麼區別。
換言之,一般的瀏覽器安全架構防得住表面第一層,但彈出式瀏覽器安全性則有嚴重漏洞
,當玩家信以為真,認為登入視窗是合法安全之際輸入帳號資訊,他們就得手了。該手法
甚至也能應用在 Google、Facebook、Twitter 等其他 SNS 平台的登入。
CERT-GIB 揭露這些詐騙網頁的連結經常透過其他 SNS 平台散播,你可能在 YouTube 某
個頻道的短網址就點進去,然後被詐騙活動網頁誘使去登入遊戲帳號,因此無論如何,不
要點擊不信任的來源的連結,也需要仔細過濾 SNS 通知消息或電子郵件,避免落入新釣
魚攻擊的圈套。
====
詐騙技術越來越厲害了....
這招真的厲害。
--
「星耀如眼,賜吾輩目光。
取吾奉獻,予吾輩力量。
此等威力,暗夜淚光芒。」
─黑暗祭禮
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 61.224.224.200 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/C_Chat/M.1663152681.A.470.html
※ 編輯: wizardfizban (61.224.224.200 臺灣), 09/14/2022 18:51:49
推 oxooao: 所以對抗方法是啥?彈出式視窗全部關掉還是有什麼更好的 09/14 18:57
→ oxooao: 防範方式 09/14 18:57
推 ab4daa: 看來只好拔網路線了 09/14 18:58
推 lokiwash: 彈視窗 關快顯應該有用 09/14 19:03
推 e04su3no: 有用guard沒差吧 09/14 19:22
推 common7: 如果故意登錯資料 會怎樣 09/14 19:31
推 GRJOE: 有假的guard 接著跳出 09/14 19:40
推 lpsobig: 唉 昨天才遇到朋友帳號中招 09/14 20:56
推 losage: 這跟之前版上領免費遊戲但是要連結STEAM帳號手法一樣阿 09/14 21:28
→ yukitowu: 看不懂這再說甚麼 09/14 22:37
→ yukitowu: 跑去西洽看看懂了 就在網頁裡刻一個視窗樣式的介面 09/14 22:40
→ testPtt: sega都用連結帳號送阿 09/14 22:56
推 yabiboy: 檢查網站的憑證,不確定是否可行? 09/15 00:05
→ yabiboy: 抱歉,漏看內文有提到可被偽造XD 09/15 00:08
推 macaber: 我最近輸入密碼第一次都是故意用錯的, 不過沒中招不知道 09/15 08:39
→ macaber: 有沒有用 09/15 08:39
推 benson861119: 智商檢測網 09/15 09:19