Google修复了超级偷偷摸摸的Gmail网络钓鱼技巧

编辑:爱购彩平台 时间:2019-09-28 热度:9313℃ 来源:爱购彩平台 责编: 爱购彩平台

谷歌已经对最近几个月影响其Gmail电子邮件服务用户的“高效”网络钓鱼诈骗进行了反击。

诈骗者一直在通过引导用户欺骗人们泄露密码它们看起来像登录页面,在受害者的Web浏览器中未触发任何警报。专门为WordPress网站制作安全工具的公司WordFence的安全研究人员上个月警告说,网络钓鱼活动“甚至对有经验的技术用户都产生了广泛的影响。”

不再。Google已通过更新其Chrome浏览器来解决此问题。在本月初发布的新版本中,浏览器的地址栏会在向人们提供使用网络钓鱼技巧的页面时向人们发出警告。

获取《财富》技术通讯的数据表。

虽然浏览器以前对假冒帐户登录没有任何可疑之处,但在这种情况下,经过修改的版本现在显示为“不安全”。(当然,Gmail用户仍应注意该警告。)

诈骗者一直在从已知联系人的受感染帐户中向人们发送欺诈性电子邮件。在内部,注释包括嵌入的图像,这些图像的设计类似于PDF附件,当单击这些附件时,它们会打开虚假的Gmail登录页面。

这是我曾经遭受过Gmail网上诱骗攻击的最接近的记录。没来过我的高DPI屏幕会使图像模糊...pic.twitter.com/MizEWYksBh

—汤姆·斯科特(@tomscott)2016年12月23日

在伪造的登录页面上,除了通常的“https://”之前的一些不寻常的文本“data:text/html”外,其他一切看起来都非常正常。

诈骗者一直在利用URL与不太常见的“数据URI”之间的区别。前者(通常称为网址)指向网页在网络上的位置,进行访问并允许人们与之交互。另一方面,“数据URI”会嵌入文件。

在这种情况下,数据URI运行了一个隐藏程序,用于提供服务的网络钓鱼页面。由于GoogleChrome浏览器未能将这些页面标记为潜在危险,因此许多人没有意识到输入用户名和密码的危险-攻击者会立即抓住它们,然后劫持更多帐户。

EmilySchechterGoogleChrome的安全产品经理,在周一提供给《财富》的一份声明中承认网络钓鱼计划。她在其中解释了该公司的修复程序,并暗示了将要采取的更强有力的对策。

Chrome和其他浏览器中的地址栏可帮助用户确定页面的身份。如果地址(URL)与页面内容准确对应,则用户可以放心他们在正确的位置。诈骗者可能会利用这种信任,并显示看起来像熟悉的网站,但URL稍有不同的页面。有时这些地址以“data:”开头;我们最近看到的骗局就是这种情况。“数据:”地址具有一些合法的用例,但是在这种情况下,这些地址被用于故意使用户感到困惑。现在,Chrome在以“data:”开头的地址旁边显示一个“不安全”标签,我们将在即将推出的Chrome版本中采取进一步的措施。

转载请注明:“ 转载地址:http://www.o3mart.com/lanqiu/meiti/201909/1142.html ”。