發表時間: 2020-10-21 17:49:00作者:
7款易中「假網址」釣魚的手機瀏覽器。(圖片來源:Adobestock)
隨著手機、平板的普及,這些行動設備平台所遭遇的「假網址」攻擊也日益嚴重。有資安公司便點名 7 款瀏覽器 App 最容易中招,欠為缺乏防衛機制。這 7 款瀏覽器甚至可見蘋果的 Safari 與 Opera 等知名瀏覽器。
「假網址」的攻擊手法,一般是透過 JavaScript 趁虛而入,在打亂瀏覽器讀取頁面、刷新網址列的時間裡,藉此讓釣魚網站出現合法網址。由於電腦瀏覽器具有較多的防護機制,可隨時獲得通知,但手機則因為受限於於螢幕空間太小,用戶有時並不容易查覺異狀,再加上生態差異,使得「假網址」近年越來越盛行。
例如用戶可能會在手機上收到一則附有連結的簡訊,告知付款有問題、請盡快查看,。而用戶在點擊後檢查網址,或許也覺得跟知名付費平台 PayPal 相同,也沒有發現任何可疑的英文字母變形,混充在網址中,但卻可能屬於釣魚網頁,想藉此騙取用戶的帳號資料。
這種「假網址」的攻擊手機,若想讓釣魚順利進行,主要必須合乎兩個條件,首先就是過時的瀏覽器,其次則是能夠執行 JavaScript 的網頁。目前手機被發現的 7 款瀏覽器 App,在保護「假網址」攻擊上就存在漏洞。這幾款瀏覽器包含了 Safari、Opera Touch、Opera Mini、Bolt、RITS、UC Browser、Yandex Browser。
研究人員也已經通知各瀏覽器的開發商,其中 Safari、Opera、Bolt 皆已回應並推出版本更新修補檔案,建議使用者盡快更新,確保安全。其餘 App 則尚未推出更新檔,仍存在被攻擊的風險。