近期,安全领域的知名公司SquareX揭示了一种名为“Browser in the Middle”的新型网络钓鱼攻击手段,该手段允许黑客在不被察觉的情况下,窃取用户的敏感信息,如账号和密码。
黑客在设计的钓鱼弹窗中,巧妙地加入了一个伪装成“登录”的按钮。一旦用户点击,页面就会立即切换到全屏模式,进一步降低了用户关闭全屏并核对URL的可能性。这一设计使得攻击更加隐蔽和有效。
研究人员指出,在这三种浏览器中,苹果Safari的风险尤为突出。当Safari切换到全屏模式时,不会向用户显示任何提示信息。而基于Chromium内核的浏览器,如谷歌Chrome和微软Edge,虽然会在切换全屏时弹出短暂的提示,但这一提示往往只显示几秒钟,很容易被用户忽略。
为了演示这种攻击手段,研究人员展示了黑客设计的山寨Steam登录页面。该页面几乎与真实的Steam登录页面一模一样,足以欺骗大多数用户。当用户在不知情的情况下输入账号和密码时,这些信息就会被黑客窃取。
