“假网址”攻击手法曝光 7款App最易中招(图)
手机“假网址”钓鱼,知名浏览器也中招。(图片来源:Adobestock)
随着手机、平板的普及,这些行动设备平台所遭遇的“假网址”攻击也日益严重。有资安公司便点名7款浏览器App最容易中招,欠为缺乏防卫机制。这7款浏览器甚至可见苹果的Safari与Opera等知名浏览器。
“假网址”的攻击手法,一般是透过Java Script趁虚而入,在打乱浏览器读取页面、刷新网址列的时间里,借此让钓鱼网站出现合法网址。由于电脑浏览器具有较多的防护机制,可随时获得通知,但手机则因为受限于于萤幕空间太小,用户有时并不容易查觉异状,再加上生态差异,使得“假网址”近年越来越盛行。
例如用户可能会在手机上收到一则附有连结的简讯,告知付款有问题、请尽快查看。而用户在点击后检查网址,或许也觉得跟知名付费平台PayPal相同,也没有发现任何可疑的英文字母变形,混充在网址中,但却可能属于钓鱼网页,想借此骗取用户的帐号资料。
这种“假网址”的攻击手机,若想让钓鱼顺利进行,主要必须合乎两个条件,首先就是过时的浏览器,其次则是能够执行Java Script的网页。目前手机被发现的7款浏览器App,在保护“假网址”攻击上就存在漏洞。这几款浏览器包含了Safari、Opera Touch、Opera Mini、Bolt、RITS、UCBrowser、Yandex Browser。
研究人员也已经通知各浏览器的开发商,其中Safari、Opera、Bolt皆已回应并推出版本更新修补档案,建议使用者尽快更新,确保安全。其余App则尚未推出更新档,仍存在被攻击的风险。