最新網際網路文章

Image credit: AP Photo/Mark Lennihan

移动版 Chrome 被发现可以通过假网址栏来进行钓鱼攻击

以此手法炮制的网页几乎是看不出破绽的。

Lanmo Chang
2019 年 4 月 29 日, 傍晚 08:00
AP Photo/Mark Lennihan

有时网络攻击者需要费心寻找技术上隐含的漏洞,才得以发起攻击,但有时却不用那么麻烦。日前一位开发人员 James Fisher 发现,在移动版 Chrome 上其实只需要一张屏幕截图,并辅以一些精巧的代码,就能轻松实现钓鱼攻击。正常来说,当你开始向下浏览网页时,网址就会暂时缩起。但经 James Fisher 特殊设计的网页,此时就会显示出假的网址栏。即便网页向上滑动,它也能避免让真正的网址栏现身。如此用户便无从察觉自己正身处钓鱼的风险之中。

虽然 Fisher 这套手法主要是针对移动版 Chrome 所提出,但理论上应该也能在一些其它浏览器中达成相同的作用。他也表示,其实只要额外费心设计,假网址栏甚至还能拥有一些互动功能呢。例如,若一位用户识破了第一个造访的钓鱼网页,当他选择在假网址栏键入其它网址(如 gmail.com)希望离开时,其实只是再度踏入了攻击者的圈套。

目前尚无法确认是否已有网络钓鱼攻击者采用这样的手法,但如果你不放心,9to5Google 团队倒是提供了一个检查方式。在浏览网页时,只要锁定手机后再解锁,就能强制显示真正的网址栏。虽然这似乎不是 100% 见效,但应多少还是能帮助到一些人吧。