Mozilla發現網釣新手法

從iThome看到的報導,Mozilla的介面及創意負責人Aza Raskin,
日前發現了一個新的網路釣魚手法,稱為”標籤綁架(tabnapping)”;
該手法主要是趁打開該網頁的使用者不注意時,偵測並將自身變成某一網路服務,
並以此引誘粗心的使用者輸入資料-不過該手法目前似乎仍只限於針對Firefox.

(以下內容引述自iThome)
…..Raskin將此一新的手法稱為標籤綁架（tabnapping），
指出當使用者連上一個嵌有第三方script程式或Flash工具的網頁時，就會讓自己曝露於風險中，
因為相關的惡意程式得以偵測使用者經常使用或正在使用的網路服務，在使用者暫時離開該網頁後，
該網頁內容及網頁標籤會悄悄地變身成為偽造的網路服務，並誘導使用者輸入個人資訊…..
…..Raskin直接以其個人部落格展示了這項攻擊手法，假設使用者同時開啟多個網頁標籤，
其中一個是Raskin的部落格，當使用者點選了其他標籤、暫時離開該部落格，
幾秒後該部落格的標籤及介面就會變成Gmail，並呈現未登入狀態。
駭客可以將該網頁偽裝成任何使用者經常造訪的網站，例如若以金融網站取代Gmail，
使用者也許會以為是離開太久後自動登出，很可能就會輸入自己的帳號與密碼以便重新登入。
不過該項展示僅適用於Firefox瀏覽器…..
…..

此為手法演示影片:


從影片中可以看到,網頁的標籤和內容都變成了Gmail的樣子,
不過網址列仍然是原本的網址…..雖然可以搭配用JavaScript丟瀏覽視窗之類老招,
正常人只要稍微小心些,應該還是不太容易上這種當的?
但一如iThome的報導所言”Raskin的手法簡化了網釣攻擊方式“,
這種新穎的釣魚手法,日後或許還可看到更多有創意的應用呢 ww