社会工程学极致运用 网络钓鱼攻击出现新技术

　　Mozilla的用户界面专家已经发现了一种新型的钓鱼手法，黑客将浏览器标签变形，诱骗用户输入(邮箱、网银等的)登录信息。

　　传统的网络钓鱼一般会诱骗用户直接访问一个恶意网页，比如假冒的网上银行登录页面，这样就可以搜集用户网银的信息。

　　Mozilla Firefox的领导人Aza Raskin周一在博客中表示，这项新技术，被称为“tabnapping”或者“tabjacking”(标签钓鱼)，这会让用户看起来访问的是一个真实合法的网站。

　　Raskin表示，如果用户在浏览器中离开了当前页面，并且打开了一个新标签，那么，恶意标签就会改变它自己，伪装成为一个合法的可信任站点。恶意站点改变了标签上显示的标题以及网站图标，而其他都没有变化。Raskin同时还演示了一个假冒的Gmail登录页面。

　　Raskin说，随后，用户切换回假冒的标签中，误以为这是一个值得信任的站点，不假思索的输入了用户名和密码。

　　该攻击能够得以实施，很大程度上得益于用户对待安全不够认真。比如，在遭受攻击时候没有发现浏览器的URL地址发生了变化。根据研究报告显示，本次攻击主要针对Firefox、IE以及Google Chrome等流行的浏览器。

　　Raskin表示，钓鱼攻击实施者可以使用以前常用的技术，发现哪些被信任的网站是用户会频繁访问的，比如银行或者一些特殊网页。

　　Raskin说，“使用CSS历史记录器，检测到哪些网站被用户访问，然后发动攻击，黑客可以检测出访问者是否拥有一个Facebook帐户，或者是否是花旗银行的客户，他是否拥有Twitter账号等等，然后，使用一个伪造的页面来欺骗用户。”

　　他表示，攻击者制造了一个页面，提示用户一些错误信息，比如“会话已经超时，请重新登录”之类的话，“这确实常常发生在银行网站上，所以黑客利用这点能够更容易的进行攻击。”

　　Raskin描述的攻击依赖于Javascript，在浏览器加载项中禁用脚本将能够抵御此类攻击。不过，研究人员Avi Raff发现了一种新版本的攻击，即使禁用了脚本，也能够触发。

　　网络钓鱼仍然是一个不断增长的威胁，恶意网址链接通过email以及Twitter这样的SNS网站来大量传播，Twitter在3月推出了一项旨在阻止恶意链接欺骗用户的SNS网站的恶意链接。