行動版 Chrome 被發現可以透過假網址欄來進行釣魚攻擊

以此手法炮製的網頁幾乎是看不出破綻的。

行動版 Chrome 被發現可以透過假網址欄來進行釣魚攻擊

有時網路攻擊者需要費心尋找技術上隱含的漏洞,才得以發起攻擊,但有時卻不用那麼麻煩。日前一位開發人員 James Fisher 發現,在行動版 Chrome 上其實只需要一張螢幕截圖,並輔以一些精巧的程式碼,就能輕鬆實現釣魚攻擊。正常來說,當你開始向下瀏覽網頁時,網址就會暫時縮起。但經 James Fisher 特殊設計的網頁,此時就會顯示出假的網址欄。即便網頁向上滑動,它也能避免讓真正的網址欄現身。如此用戶便無從察覺自己正身處釣魚的風險之中。

雖然 Fisher 這套手法主要是針對行動版 Chrome 所提出,但理論上應該也能在一些其它瀏覽器中達成相同的作用。他也表示,其實只要額外費心設計,假網址欄甚至還能擁有一些互動功能呢。例如,若一位用戶識破了第一個造訪的釣魚網頁,當他選擇在假網址欄鍵入其它網址(如 gmail.com)希望離開時,其實只是再度踏入了攻擊者的圈套之中。

目前尚無法確認是否已有網路釣魚攻擊者採用這樣的手法,但如果你不放心,9to5Google 團隊倒是提供了一個檢查方式。在瀏覽網頁時,只要鎖定手機後再解鎖,就能強制顯示真正的網址欄。雖然這似乎不是 100% 見效,但應多少還是能幫助到一些人吧。

來源: James Fisher

經由: Engadget, 9to5Google