網絡安全領域近日迎來了一次新的警示,知名安全企業SquareX發布了一項令人不安的發現——一種名為“Browser in the Middle”的新型網絡釣魚攻擊手段正在悄然蔓延。這種攻擊方式極為狡猾,能夠在用戶毫不知情的情況下,輕松竊取其賬號密碼等敏感信息。
據SquareX的報告指出,“Browser in the Middle”攻擊實質上是中間人攻擊的一種進化形態。攻擊者會精心偽造一個登錄彈窗頁面,其外觀與正規網站無異,誘騙用戶輸入個人信息。值得注意的是,當前廣泛使用的瀏覽器,如Chrome、Edge以及Safari,均存在設計上的潛在缺陷,可能被這種攻擊方式所利用。
具體來說,攻擊者利用了Fullscreen API的漏洞。這一API原本旨在為用戶提供全屏瀏覽體驗,但遺憾的是,它目前并未對第三方網站觸發全屏的行為做出嚴格限制。攻擊者可以在偽造的釣魚窗口中嵌入一個看似無害的“登錄”按鈕,一旦用戶點擊,系統便會立即進入全屏模式,從而掩蓋了真實的網址,極大地提升了欺騙的成功率。
安全專家對此表示了深切擔憂。他們指出,蘋果公司的Safari瀏覽器在這一方面尤為脆弱,因為當用戶切換至全屏模式時,Safari不會給出任何形式的提示。而對于基于Chromium內核的瀏覽器,如Chrome和Edge,盡管在進入全屏模式時會有一瞬間的提示,但由于這一提示過于短暫,大多數用戶往往難以察覺。
面對這一新型威脅,網絡安全專家呼吁廣大用戶提高警惕。他們建議,在輸入賬號密碼等敏感信息時,務必仔細核對網址,確保自己處于安全的登錄頁面。同時,瀏覽器廠商也應盡快修復相關漏洞,加強全屏模式的觸發限制,以更好地保護用戶的個人信息。
