概述

目前，涉及到加密貨幣的許多網(wǎng)站，特別是需要用戶輸入機密信息的平臺，都會建議用戶檢查URL地址欄，從而查看是否包含正確的SSL證書(有些平臺中，會特定為EV證書)和正確的URL。因此，許多用戶對這一點記憶深刻，并將其作為第一項檢查的內(nèi)容。但近期，我們發(fā)現(xiàn)了一種新型釣魚方式，如果用戶訪問攻擊者特制的頁面，可能會產(chǎn)生一種虛假的“安全感”。

[[255669]]

我們首先要強調(diào)，本文所描述的釣魚方式，與涉及到的任何產(chǎn)品(包括MyCrypto、Binance、Google Chrome、Firefox、Brave)中的漏洞無關。相反，攻擊者創(chuàng)建了一個虛假的網(wǎng)站，并使用戶相信他們訪問的是合法的網(wǎng)站。

作為用戶，應該始終保持警惕，特別是在處理加密貨幣的過程。并且，用戶應該選擇其他具有安全性的機制，包括雙因素認證、脫機運行、硬件錢包等。但不幸的是，包括MyCrypto和Binance在內(nèi)的一些網(wǎng)站，目前都還沒有相應的機制來緩解這類攻擊。

演示視頻(YouTube)：https://youtu.be/ebWftq6kA30

針對PoC的分析

通過使用瀏覽器的全屏API、一些用于檢測瀏覽器的JavaScript以及一些圖像，我們可以幾乎以假亂真的欺騙用戶，讓用戶相信自己正在訪問正確的域名。上述視頻就是我們制作的PoC。

盡管乍一看，用戶似乎離開了127.0.0.1:5500的這臺服務器，但實際上并沒有。為深入了解這種新型釣魚方法，我們將分解各個頁面，進行詳細分析。

第一個視圖僅用于演示目的，這是一個帶有MyCrypto合法鏈接的簡單視圖。然而，可以想象一下，攻擊者將其作為野外的某個惡意加密貨幣新聞網(wǎng)站，或者是某個說明如何使用MyCrypto的博客文章，或者是惡意AirDrop的網(wǎng)站鏈接。不管怎樣，其最終目的都是試圖誘導用戶點擊有效的MyCrypto.com鏈接。

在用戶單擊鏈接后，瀏覽器將被強制進入全屏模式，并顯示一些圖像，這些圖像看起來就像是用戶瀏覽器的框架。我們使用了一些簡單的JavaScript來檢測用戶正在運行的瀏覽器，并針對不同瀏覽器顯示出不同的瀏覽器框架圖像。

接下來，我們假設MyCrypto不會棄用網(wǎng)絡上的私鑰，或者用戶使用的是要求提供私鑰的產(chǎn)品。在這里，攻擊者會要求用戶輸入密鑰，并在用戶鍵入時對其進行記錄(如下所示)。

這部分，并不會像PoC那樣冗長，但足以能夠表明用戶從來沒有離開過127.0.0.1:5500這臺服務器，但用戶操作瀏覽器時看起來就像是在MyCrypto.com網(wǎng)站上一樣。

除非用戶具有額外的身份驗證機制，或者用戶具有足夠的警惕性，否則直至此時，用戶的私鑰已經(jīng)被攻擊者竊取，并且資金也很可能已經(jīng)被盜。

現(xiàn)在，讓我們看看另外一個例子，這是同樣非常流行的Binance交易所。這個平臺的安全性相對較好，因為平臺會建議用戶應該檢查登錄頁面上的地址欄，這通常是一個很好的安全建議。

演示視頻(YouTube)：https://youtu.be/hOgPAhEXNSw

從上面的演示視頻中，可以看出，除非用戶全神貫注于屏幕，否則很容易成為這個新型釣魚方法的受害者。

針對其他瀏覽器的測試

我之前提到過，我們可以使用JavaScript來檢測用戶所使用的瀏覽器，并針對不同的瀏覽器顯示出相對應的圖像。

在Firefox中，瀏覽器切換到全屏模式后的提示會稍微明顯一些。但是，精心構(gòu)造的PoC并不會觸發(fā)alert()以顯示帶有實際地址欄的提示。在這里，使用alert()產(chǎn)生提示并沒有實際上的意義。

演示視頻(YouTube)：https://youtu.be/phmS05-hF1Y

如果使用Brave，實際上與Chrome的體驗相同，原因在于Brave基于與Chrome相同的Chromium網(wǎng)絡瀏覽器。

演示視頻(YouTube)：https://youtu.be/qYnY2DOd5fo

安全建議

• 保持警惕，用戶需要仔細檢查自己的瀏覽器是否已經(jīng)進入到全屏模式。
• 絕對不要將憑據(jù)或私鑰輸入通過點擊鏈接到達的網(wǎng)站中。在任何時候，建議都自行訪問網(wǎng)站，或者通過自己創(chuàng)建的書簽點擊。
• 安裝EtherAddressLookup瀏覽器擴展，從而防止訪問已知的惡意域名。
• 密切關注EtherScamDb目錄。
• 在社區(qū)中，學習并分享關于新型網(wǎng)絡釣魚策略的知識。
• 如果你認為某些關鍵內(nèi)容突然從頁面中消失，或者當前正在訪問的頁面有任何異常，請相信你的直覺，并找到可靠的依據(jù)。
• 盡可能使用硬件錢包和雙因素認證(2FA)，用戶可以選購Ledger錢包或Trezor。
• 在使用加密貨幣相關平臺時，盡量使用桌面應用程序，或離線運行(例如MyCrypto Desktop APP)。

目前，我們還沒有證據(jù)表明該惡意活動是針對網(wǎng)絡加密貨幣用戶執(zhí)行的。

本文翻譯自：

https://medium.com/mycrypto/unique-phishing-method-to-look-out-for-the-fullscreen-api-e6cd08a6293a