当前位置: 首页 > 图文教程 > 网络安全 > 黑客技术 > 发动钓鱼攻击有新招

黑客技术
黑客利用提供甲流疫苗接种骗术散播电脑病毒
中关村在线的服务器遭到黑客入侵
黑客常用4种攻击手段和应对措施
不用ARP欺骗进行嗅探和会话劫持进行MAC欺骗
重庆银行官网被黑客入侵挂马
网站被攻击的方式和防范黑客攻击的措施
黑客攻击:用DOS命令破解NT系统账号密码
Windows环境下木马程序如何隐藏系统中
最新的QQ空间密码和权限破解的方法
网上看科幻片阿凡达当心挂马站点和钓鱼网站
百度被黑引发中伊互联网红黑客大战
XSS攻击如何实现以及保护Web站点免受跨站点脚本攻击
互联网发展史上的几次影响较大的黑客事件
科技博客网站Techcrunch遭到黑客攻击
防止社交媒介遭受黑客攻击的10个方法
美国会议员网站被黑 贴上反奥巴马总统信息
游侠网Netshow论坛受到DDOS大流量攻击
火车票转让成网络热词 黑客借机挂马
网警摧毁国内最大黑客网 木马产业链规模达百亿
“谷姐”蹿红背后:拒百万广告 遭黑客攻击

黑客技术 中的 发动钓鱼攻击有新招


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-13   浏览: 42 ::
收藏到网摘: n/a

  最新报道,安全厂商Trusteer发现了一种可以不利用电子邮件就发动钓鱼攻击的新方法。

  根据安全厂商Trusteer研究员的发现,该种新型的钓鱼攻击主要是利用了众多浏览器中都存在的漏洞,通过这种称为“in-session phishing”的会话钓鱼攻击,可以更轻易地窃取到网上银行证书。

  “in-session phishing”钓鱼攻击可以帮助犯罪分子钓到更多的“鱼”。在传统的网络钓鱼攻击中,犯罪分子把自己伪装成拥有合法身份的主体比如银行或者网上支付公司等,并通过伪装身份发送大量的垃圾邮件。

  通常来说,这些垃圾邮件会被过滤软件拦截掉,但是在“in-session phishing”会话钓鱼攻击中,它们无需利用电子邮件,取而代之的是利用一个弹出窗口。

  具体地讲:犯罪分子对要入侵的合法网站植入HTML代码,该代码会让人看起来是个安全警告的弹出窗口。该弹出窗口会要求受害者输入密码和登录信息,并很有可能会要求他们提供其他使用银行核实客户身份的安全问题的答案。

  对于犯罪分子而言,最困难的环节莫过于如何让受害者相信其弹出窗口是合法的。但是,由于几乎所有的浏览器都是使用JavaScript引擎,该引擎中存在的漏洞可以使得这种类型的攻击似乎更加可信。Trusteer首席技术官Amit Klein如是表示。

  通过研究浏览器使用JavaScript的方式,Klein说他已经发现了一种方法,可以确定是否有人登录过某个网站,前提是他们使用了JavaScript的某个函数。Klein并不会说出该函数名称,因为它将帮助犯罪分子发起攻击,但是他已经通知给了浏览器厂商,预计相关补丁将会陆续推出。

  此前,获悉该安全漏洞的犯罪分子编写出了可以检测用户是否登录网站的代码。随后,这些随机诈骗邮件不仅雨后春笋般冒出来,而且攻击者可以借此获得更先进的探测用户是否登录网站的技术。

  “事实上,目前我们对这种in-session钓鱼攻击的诈骗邮件给予了很多信任。”Klein说。

  安全研究员已经找到其他方法,以确定受害者是否登录到某个网站,但是它们并不总是有效的。Klein就讲述到,他的技术也并不总是可靠的,但是它却可以用在包括银行、在线销售、游戏和社交等众多网站上。