龙空技术网

小心!新“伪造浏览器弹窗”攻击危及Steam账户安全

3DM游戏网 230

前言:

此时看官们对“html超链接事件”都比较珍视,各位老铁们都需要了解一些“html超链接事件”的相关知识。那么小编同时在网上网罗了一些有关“html超链接事件””的相关资讯,希望同学们能喜欢,我们一起来了解一下吧!

想必有许多玩家都有过这样的经历:Steam 上突然有人给你发了一条消息,要你帮忙为某个战队投票或是加入 DOTA/CS:GO 战队的邀请,要求点开一个链接并通过网站登陆“Steam”。当然,这是试图盗走你账号的钓鱼,而对方往往是由机器人控制的被盗账号。日前,又有一个全新的盗号方式被发现。

网络安全公司 Group-IB 表示,一种全新的网络钓鱼技术在今年早些时候“突然出现”。这种钓鱼方式最早由研究员 mr.d0x 发现,并且自那时起就一直在诱骗 Steam 用户。据该公司称,该钓鱼方式关键在于攻击者不只是模仿网页,而是模仿完整的弹出式浏览器窗口。这使得诈骗者可以通过显示伪造的 SSL 证书安全锁标志和其他假象来使虚假的 Steam 登陆页面看起来像是真的一样。

在 Steam 上,该骗局主要目标是竞技玩家和职业玩家,他们依然会受到加入战队的邀请。如果他们上钩,链接会引导至一个看起来真实的游戏锦标赛举办平台网页,并要求他们使用 Steam 账号登陆。Steam 登陆弹出窗口当然是假的,并且并不是一个真的窗口,而是页面里运行的代码。

伪造的弹出窗口包括伪造的安全证书并支持多种语言。它可以最大化、最小化和移动。使用一个人的 Steam 凭据登录合法网站并不少见,因此一些用户可能不会考虑更多,因为乍一看窗口并没有什么不妥之处。

根据 Bleeping Computer 的说法,该攻击使用 JavaScript,因此阻止脚本的扩展可以通过阻止代码运行来提供一些保护。

标签: #html超链接事件