3年前安全人员mr.d0x披露一种名为Browser-in-the-Browser(BitB)的攻击手法,黑客在网页上制作几可乱真的浏览器窗口界面,企图引诱用户上当,依照指示进行操作输入账密,如今类似的攻击行动再度出现。
安全企业Silent Push发现新一波的BitB网络钓鱼攻击行动,黑客锁定绝对武力2(Counter-Strike 2,CS2)的玩家而来,意图借此窃取他们的Steam账号。比较特别的是,黑客为了取信玩家,他们还滥用专业电竞团队Navi的名号。
附带一提的是,虽然研究人员看到黑客主要针对英文用户而来,但也有例外,其中一个钓渔网站simplegive“.”cn使用了简体中文。
这些钓渔网站打着Navi的名号,声称提供免费道具箱(Free Case)给玩家。一旦玩家依照指示点击想要的道具箱内容,网站就会显示Steam登录窗口。值得留意的是,虽然这个登录界面看起来像是弹出式窗口,但实际上,这是黑客运用了BitB手法,构建于钓渔网页里面的假窗口,若是玩家输入账密数据,黑客就会劫持他们的Steam账号。为了引诱更多玩家上当,黑客也冒用Navi电竞选手的名号,通过YouTube传播钓渔网站的资讯。
究竟玩家该如何防范BitB攻击?研究人员指出,正常的窗口能最大化、最小化,或是移出原本的浏览器窗口范围,这些都是BitB的假弹出式窗口做不到的。因此,他们呼吁用户在访问要求登录的弹出式窗口,务必要尝试将其拖拽到原本的浏览器窗口之外,以免掉入BitB的圈套。此外,此游戏的唯一下载渠道是Steam,若有其他的网站声称提供游戏安装程序,玩家也要提高警觉。
