近期,一种窃取Facebook登录信息的新手段浮出水面——黑客利用浏览器内的虚假窗口来模仿合法的登录弹窗。这种被称为“浏览器套浏览器”(BitB)的攻击方式,为一种长期存在的黑客手段增添了新花样。
这种攻击方式最初由安全专家mr.d0x于2022年记录在案,其过程涉及一个被入侵或伪造的网站生成一个看似登录窗口的界面。实际上,它只是现有浏览器标签页内生成的一个元素,被设计成逼真的服务登录窗口样式,甚至包含视觉上伪造的合法登录网址显示。如果用户通过此表单提交了凭据,攻击者就能控制该账户,或收集数据用于出售或未来的攻击。
由于BitB攻击在过去六个月才开始盛行,并且因为它们极其逼真地模仿了地址栏中的合法网址甚至CAPTCHA验证测试等真实细节,所以很难被立即识破。老实说,我报道这个话题,但乍一看,那个虚假的登录弹窗看起来相当真实。示例截图中暴露破绽的地方其实在主窗口的网址里。
那么,如何避免落入这个陷阱呢?有几种方法,其中一些是大家熟悉的安全建议:
始终直接登录网站。自己在新浏览器标签页中导航到登录页面。
弹窗不会离开浏览器标签页的边界。这是最简单的筛查方法——尝试将弹窗“窗口”移出浏览器标签页。如果它真的是一个独立窗口,你就能将两者分开。(你也可以检查Windows任务栏来确认。)
使用密码管理器。这些服务只会在与你密码一同保存的网站相匹配的网站上提供自动填充凭据的功能。
启用双因素认证。如果你不幸遭遇网络钓鱼攻击,这第二道登录检查点有时可以阻止攻击者窃取你的账户。(但这并非绝对保证,因为如果你不小心分享了2FA验证码,钓鱼网站也可能成功利用它。)
尽可能使用通行密钥。通行密钥有双重优势。首先,它们与创建它们的网站绑定,因此即使你尝试在虚假网站上使用,也不会成功。其次,如果虚假页面不提供使用通行密钥登录的选项,它们可以帮助提示你正身处一个虚假页面。(不幸的是,Facebook目前仅允许在移动设备上使用通行密钥登录,因此这条建议不适用于这次最新的攻击。)
在这些建议中,尝试移动弹窗以查看它是否能与原始浏览器标签页分离,是一个需要养成的新习惯——这是在攻击者不断变化的手法中需要记住的又一件事情。我的建议是什么?最简单的方法是始终使用你自己打开的浏览器标签页和窗口,并配合通行密钥来登录网站。对大多数人来说,这意味着即使你关注最新动态,需要记忆的具体策略也更少。
