已發布有關網路釣魚方法的信息,該方法允許用戶透過使用 iframe 在當前視窗頂部顯示的區域中重新建立瀏覽器介面,從而產生使用合法身份驗證形式的假象。如果早期攻擊者試圖透過註冊具有相似拼字的網域或操縱 URL 中的參數來欺騙用戶,那麼使用所提出的使用 HTML 和 CSS 的方法,會在彈出視窗的頂部繪製複製瀏覽器介面的元素,包括帶有視窗控制按鈕和網址列的標題,其中包含的地址不是內容的實際地址。
考慮到許多網站透過支援 OAuth 協定的第三方服務使用身分驗證表單,並且這些表單顯示在單獨的視窗中,產生虛構的瀏覽器介面甚至可能會誤導經驗豐富且細心的使用者。例如,所提出的方法可以在被駭客攻擊或不值得的網站上使用來收集使用者密碼資料。
一位提請人們注意這個問題的研究人員發布了一組現成的佈局,模擬 macOS 和 Windows 的深色和淺色主題的 Chrome 介面。彈出視窗是使用顯示在內容頂部的 iframe 形成的。為了增加真實感,JavaScript 用於綁定處理程序,可讓您移動虛擬視窗並點擊視窗控制按鈕。
來源: opennet.ru