網(wǎng)絡(luò)釣魚作為網(wǎng)絡(luò)安全的第一大危害，已經(jīng)到了老鼠過街人人喊打的地步。無數(shù)的用戶和安全產(chǎn)品廠商利用各種技術(shù)，試圖進行封殺。但就在戰(zhàn)爭進行的水深火熱的地步時，一種新型的網(wǎng)絡(luò)釣魚技術(shù)：在線釣魚又亮出了它的殺機。

安全廠商Trusteer的研究人員表示，近日黑客利用所有主流瀏覽器中存在的一個漏洞發(fā)起新型攻擊，被稱為“在線釣魚攻擊(in-session phishing)”，這種攻擊能夠幫助黑客輕而易舉地竊取網(wǎng)上銀行電子證書。

在線釣魚攻擊幫助釣魚攻擊者解決了發(fā)動釣魚攻擊的最大問題，即如何竊取更多銀行帳戶信息。在傳統(tǒng)的釣魚攻擊中，攻擊者通常會發(fā)送出數(shù)以百萬計的偽裝電子郵件，讓用戶以為這些電子郵件是來自合法公司，如銀行或者網(wǎng)上支付公司。這些郵件信息往往會被垃圾郵件過濾軟件攔截，所以成功率不會很高。有了在線釣魚攻擊，攻擊者不需要再使用發(fā)送電子郵件的方式，取而代之的是彈出瀏覽器窗口。

讓我們看看這種在線釣魚攻擊是如何發(fā)生的：黑客們首先會攻擊一個合法網(wǎng)站，然后植入HTML代碼，使網(wǎng)站自動彈出類似安全警告的窗口，然后用戶登陸網(wǎng)站時該彈出窗口就會要求用戶輸入密碼和登錄信息，或者要求用戶回答其他銀行用來核實用戶身份的安全問題。

對于攻擊者而言，最困難的部分就是要讓用戶相信彈出通知窗口是安全合法的，不過這也不難，因為所有主流瀏覽器的JavaScript引擎中存在的一個漏洞恰好能夠助在線釣魚攻擊者一臂之力，Trusteer公司的首席技術(shù)官Amit Klein表示，這個漏洞能夠提高攻擊者的成功率。

Klein表示，他通過研究瀏覽器使用JavaScript的方式，已經(jīng)發(fā)現(xiàn)了一種方法可以鑒定用戶是否登錄到某網(wǎng)站，只要使用某種JavaScript函數(shù)，Klein表示將不會公布這個函數(shù)功能，以防在線釣魚攻擊者向該漏洞發(fā)起攻擊，不過Klein已經(jīng)告知瀏覽器供應(yīng)商并預計這個漏洞很快將得到修復。

在此之前，如果攻擊者發(fā)現(xiàn)了這個安全漏洞，就能夠?qū)懭氪a來檢查是否有網(wǎng)民登錄到銀行網(wǎng)站。“不僅僅通過這個隨機彈出釣魚信息，在線釣魚攻擊者還可以通過探測來發(fā)現(xiàn)用戶是否在登錄金融機構(gòu)網(wǎng)站以進行更復雜的攻擊。”他表示。

“事實上，只要用戶在線就可能收到釣魚信息，”Klein補充說道。

安全研究人員已經(jīng)研究出其他方法來識別受害者是否正登錄到某個網(wǎng)站，但信息也不是完全可靠，Klein表示他的方法不是完全可行的，但是可以在很多網(wǎng)站使用，包括銀行、購物網(wǎng)站、游戲和社交網(wǎng)站等。

【編輯推薦】

1. 網(wǎng)絡(luò)釣魚需要多方治理
2. 調(diào)查問卷也成網(wǎng)絡(luò)釣魚陷阱
3. 網(wǎng)絡(luò)釣魚 微博可能成為主要途徑
4. 實例解析淘寶網(wǎng)絡(luò)釣魚二重詐騙
5. 網(wǎng)絡(luò)釣魚又見新招 支付寶也不能保證安全