一种新型钓鱼攻击技术出现

一种新型钓鱼攻击技术出现
2022-12-10 00:1:37 Author: 橘猫学安全(查看原文) 阅读量:23 收藏

对于安全人员来说，URL是域名可信度评估的最重要方式。IDN Homograph和DNS劫持等攻击会使得URL可信度降低。近日，研究人员发现一种模拟浏览器窗口进行欺骗的新型钓鱼攻击方式。

弹窗登录窗口

在用谷歌、微软、苹果等服务登入网站时，都会提供一个进行认证的弹窗。下图是用尝试用谷歌账户登入Canva时的弹窗：

使用谷歌账户登入Canva

复制窗口

使用基本的HTML/CSS来复制整个窗口的设计非常简单。将窗口设计和指向保存有钓鱼页面的恶意服务器的iframe融合后基本上是不可区分的。下图就是真实窗口和伪造的恶意窗口的对比，基本上无法区分这两个窗口：

定制的URL模板

< a href="  >Google< /a >

在启动了JS的页面上，如果加入onclick event返回错误，那么在链接上划过仍然会显示href 属性中的网站，但点击后链接的href 属性会被忽略。因此，可以使用该技术让弹窗变得更加可信：

< a href="https://gmail.com" onclick="return launchWindow();" >Google< /a >function launchWindow(){
    // Launch the fake authentication window
    return false; // This will make sure the href attribute is ignored
}

研究人员分别创建了Windows和Mac OSX系统Chrome浏览器的模板，参见Github：https://github.com/mrd0x/BITB

Demo

Demo视频如下所示：

参考及来源：https://github.com/mrd0x/BITB/blob/main/demo.gif及https://mrd0x.com/browser-in-the-browser-phishing-attack/

如有侵权，请联系删除

推荐阅读

实战|记一次奇妙的文件上传getshell

「超详细 | 分享」手把手教你如何进行内网渗透

神兵利器 | siusiu-渗透工具管理套件

一款功能全面的XSS扫描器

实战 | 一次利用哥斯拉马绕过宝塔waf

BurpCrypto: 万能网站密码爆破测试工具

快速筛选真实IP并整理为C段 -- 棱眼

自动探测端口顺便爆破工具t14m4t

渗透工具｜无状态子域名爆破工具（1秒扫160万个子域）

查看更多精彩内容，还请关注橘猫学安全：

每日坚持学习与分享，觉得文章对你有帮助可在底部给点个“再看”

文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5OTY2NjUxMw==&mid=2247501582&idx=2&sn=4f3595abdc4276270cd071130a5875f1&chksm=c04d4030f73ac926837deb54bdfb5cdbee048ff2696ae1f188b7d5d0f10aa1a0e034b2c88bdd#rd
如有侵权请联系:admin#unsafe.sh