首页 > 科技 >

新钓鱼攻击「浏览器中的浏览器」窃取玩家Steam帐号,安全专家提醒注意


【资料图】

全球拥有超过1.2 亿玩家数的Steam 平台,因许多游戏的虚拟物品在市集交易有利可图,一直是网路钓鱼攻击的重点目标,而海外网路安全组织CERT-GIB近日公开一种全新的网路钓鱼技术「浏览器中的浏览器」(browser-in-the-browser),能够成功伪造 SSL 凭证并骗取玩家帐号资讯,呼吁玩家与Valve 特别注意。这个「浏览器中的浏览器」手方为网路研究员 mr.d0x 在2022 年春季所发现,简单来说,这些骇客利用钓鱼资源创造一个弹出式的帐号登入视窗,从外表上该视窗与真实的登入视窗没有区别,而玩家透过该视窗输入的帐号资讯即会被窃取。根据 CERT-GIB 描述,不法份子会先建立目前许多当红游戏电竞赛事活动网页,像是《CS:GO》、《PUBG》等作品,这些网页都是安全的,但该网页会诱使玩家登入并连结Steam 或其他游戏帐号,而点击登入所弹出的登入视窗则是骇客们所假造的。在防范一般的传统钓鱼攻击时,通常会以URL 网址是否正确,同时也会确认网址旁的绿色锁头符号,即为SSL 凭证来证明其安全性。然而,这个「浏览器中的浏览器」手法却绕过这个限制。一开始玩家进入的诈骗网页是合法安全的,但是点击该网页连结所弹出的浏览器视窗却是伪造的,而且该浏览器能够伪造 SSL 凭证,且你在URL 看不出什么区别。换言之,一般的浏览器安全架构防得住表面第一层,但弹出式浏览器安全性则有严重漏洞,当玩家信以为真,认为登入视窗是合法安全之际输入帐号资讯,他们就得手了。该手法甚至也能应用在 Google、Facebook、Twitter 等其他SNS 平台的登入。CERT-GIB 揭露这些诈骗网页的连结经常透过其他SNS 平台散播,你可能在YouTube 某个频道的短网址就点进去,然后被诈骗活动网页诱使去登入游戏帐号,因此无论如何,不要点击不信任的来源的连结,也需要仔细过滤SNS 通知消息或电子邮件,避免落入新钓鱼攻击的圈套。

关键词: 钓鱼攻击

责任编辑:Rex_12

推荐阅读

2023年中考地理复习:治理

· 2023-02-12 10:11:11

关于我们  联系我们  商务合作  诚聘英才  网站地图

Copyright @ 2008-2020 3c.rexun.cn Corporation, All Rights Reserved

热讯网 - 热讯科技网 版权所有 豫ICP备20005723号-6
文章投诉邮箱:2 9 5 9 1 1 5 7 8@qq.com 违法信息举报邮箱:jubao@123777.net.cn

营业执照公示信息