网络安全领域近日迎来了一次新的警示,知名安全企业SquareX发布了一项令人不安的发现——一种名为“Browser in the Middle”的新型网络钓鱼攻击手段正在悄然蔓延。这种攻击方式极为狡猾,能够在用户毫不知情的情况下,轻松窃取其账号密码等敏感信息。
据SquareX的报告指出,“Browser in the Middle”攻击实质上是中间人攻击的一种进化形态。攻击者会精心伪造一个登录弹窗页面,其外观与正规网站无异,诱骗用户输入个人信息。值得注意的是,当前广泛使用的浏览器,如Chrome、Edge以及Safari,均存在设计上的潜在缺陷,可能被这种攻击方式所利用。
具体来说,攻击者利用了Fullscreen API的漏洞。这一API原本旨在为用户提供全屏浏览体验,但遗憾的是,它目前并未对第三方网站触发全屏的行为做出严格限制。攻击者可以在伪造的钓鱼窗口中嵌入一个看似无害的“登录”按钮,一旦用户点击,系统便会立即进入全屏模式,从而掩盖了真实的网址,极大地提升了欺骗的成功率。
安全专家对此表示了深切担忧。他们指出,苹果公司的Safari浏览器在这一方面尤为脆弱,因为当用户切换至全屏模式时,Safari不会给出任何形式的提示。而对于基于Chromium内核的浏览器,如Chrome和Edge,尽管在进入全屏模式时会有一瞬间的提示,但由于这一提示过于短暂,大多数用户往往难以察觉。
面对这一新型威胁,网络安全专家呼吁广大用户提高警惕。他们建议,在输入账号密码等敏感信息时,务必仔细核对网址,确保自己处于安全的登录页面。同时,浏览器厂商也应尽快修复相关漏洞,加强全屏模式的触发限制,以更好地保护用户的个人信息。
