当前位置: 首页 > 图文教程 > 网络安全 > 黑客技术 > 发动钓鱼攻击有新招

黑客技术
教你建立和删除系统隐藏帐号的方法
ARP欺骗和ICMP欺骗催生全新DOS工具
不一样的挂马方式:TXT挂马
详解跨站脚本攻击
Public权限下的列目录
无需密码照样看有密码的优酷视频
黑客攻击式的掐架导致5·19六省区的网络瘫痪
黑客产业链:揭秘黑客培训内幕
上网查旅游出国信息留神网站“挂马”
自拍网站被挂马 可能造成隐私照片泄露
木马病毒罪恶的产业链:木马制作和分销
80后男孩向黑客买QQ号和密码诈骗3万
黑客入侵知识:提权的21种方法
木马最基本的隐藏:不可见窗体和隐藏文件
黑客入侵知识:简单识别服务器操作系统
如何利用HTML格式化你的硬盘
详解BMP木马
新欢乐时光代码分析
跨站式脚本(Cross-SiteScripting)XSS攻击原理分析
攻击方式学习之SQL注入(SQL Injection)

黑客技术 中的 发动钓鱼攻击有新招


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-13   浏览: 38 ::
收藏到网摘: n/a

  最新报道,安全厂商Trusteer发现了一种可以不利用电子邮件就发动钓鱼攻击的新方法。

  根据安全厂商Trusteer研究员的发现,该种新型的钓鱼攻击主要是利用了众多浏览器中都存在的漏洞,通过这种称为“in-session phishing”的会话钓鱼攻击,可以更轻易地窃取到网上银行证书。

  “in-session phishing”钓鱼攻击可以帮助犯罪分子钓到更多的“鱼”。在传统的网络钓鱼攻击中,犯罪分子把自己伪装成拥有合法身份的主体比如银行或者网上支付公司等,并通过伪装身份发送大量的垃圾邮件。

  通常来说,这些垃圾邮件会被过滤软件拦截掉,但是在“in-session phishing”会话钓鱼攻击中,它们无需利用电子邮件,取而代之的是利用一个弹出窗口。

  具体地讲:犯罪分子对要入侵的合法网站植入HTML代码,该代码会让人看起来是个安全警告的弹出窗口。该弹出窗口会要求受害者输入密码和登录信息,并很有可能会要求他们提供其他使用银行核实客户身份的安全问题的答案。

  对于犯罪分子而言,最困难的环节莫过于如何让受害者相信其弹出窗口是合法的。但是,由于几乎所有的浏览器都是使用JavaScript引擎,该引擎中存在的漏洞可以使得这种类型的攻击似乎更加可信。Trusteer首席技术官Amit Klein如是表示。

  通过研究浏览器使用JavaScript的方式,Klein说他已经发现了一种方法,可以确定是否有人登录过某个网站,前提是他们使用了JavaScript的某个函数。Klein并不会说出该函数名称,因为它将帮助犯罪分子发起攻击,但是他已经通知给了浏览器厂商,预计相关补丁将会陆续推出。

  此前,获悉该安全漏洞的犯罪分子编写出了可以检测用户是否登录网站的代码。随后,这些随机诈骗邮件不仅雨后春笋般冒出来,而且攻击者可以借此获得更先进的探测用户是否登录网站的技术。

  “事实上,目前我们对这种in-session钓鱼攻击的诈骗邮件给予了很多信任。”Klein说。

  安全研究员已经找到其他方法,以确定受害者是否登录到某个网站,但是它们并不总是有效的。Klein就讲述到,他的技术也并不总是可靠的,但是它却可以用在包括银行、在线销售、游戏和社交等众多网站上。