網(wǎng)絡(luò)釣魚(yú)作為網(wǎng)絡(luò)安全的第一大危害，已經(jīng)到了老鼠過(guò)街人人喊打的地步。無(wú)數(shù)的用戶(hù)和安全產(chǎn)品廠商利用各種技術(shù)，試圖進(jìn)行封殺。但就在戰(zhàn)爭(zhēng)進(jìn)行的水深火熱的地步時(shí)，一種新型的網(wǎng)絡(luò)釣魚(yú)技術(shù)：在線(xiàn)釣魚(yú)又亮出了它的殺機(jī)。

安全廠商Trusteer的研究人員表示，近日黑客利用所有主流瀏覽器中存在的一個(gè)漏洞發(fā)起新型攻擊，被稱(chēng)為“在線(xiàn)釣魚(yú)攻擊(in-session phishing)”，這種攻擊能夠幫助黑客輕而易舉地竊取網(wǎng)上銀行電子證書(shū)。

在線(xiàn)釣魚(yú)攻擊幫助釣魚(yú)攻擊者解決了發(fā)動(dòng)釣魚(yú)攻擊的最大問(wèn)題，即如何竊取更多銀行帳戶(hù)信息。在傳統(tǒng)的釣魚(yú)攻擊中，攻擊者通常會(huì)發(fā)送出數(shù)以百萬(wàn)計(jì)的偽裝電子郵件，讓用戶(hù)以為這些電子郵件是來(lái)自合法公司，如銀行或者網(wǎng)上支付公司。這些郵件信息往往會(huì)被垃圾郵件過(guò)濾軟件攔截，所以成功率不會(huì)很高。有了在線(xiàn)釣魚(yú)攻擊，攻擊者不需要再使用發(fā)送電子郵件的方式，取而代之的是彈出瀏覽器窗口。

讓我們看看這種在線(xiàn)釣魚(yú)攻擊是如何發(fā)生的：黑客們首先會(huì)攻擊一個(gè)合法網(wǎng)站，然后植入HTML代碼，使網(wǎng)站自動(dòng)彈出類(lèi)似安全警告的窗口，然后用戶(hù)登陸網(wǎng)站時(shí)該彈出窗口就會(huì)要求用戶(hù)輸入密碼和登錄信息，或者要求用戶(hù)回答其他銀行用來(lái)核實(shí)用戶(hù)身份的安全問(wèn)題。

對(duì)于攻擊者而言，最困難的部分就是要讓用戶(hù)相信彈出通知窗口是安全合法的，不過(guò)這也不難，因?yàn)樗�有主流瀏覽器的JavaScript引擎中存在的一個(gè)漏洞恰好能夠助在線(xiàn)釣魚(yú)攻擊者一臂之力，Trusteer公司的首席技術(shù)官Amit Klein表示，這個(gè)漏洞能夠提高攻擊者的成功率。

Klein表示，他通過(guò)研究瀏覽器使用JavaScript的方式，已經(jīng)發(fā)現(xiàn)了一種方法可以鑒定用戶(hù)是否登錄到某網(wǎng)站，只要使用某種JavaScript函數(shù)，Klein表示將不會(huì)公布這個(gè)函數(shù)功能，以防在線(xiàn)釣魚(yú)攻擊者向該漏洞發(fā)起攻擊，不過(guò)Klein已經(jīng)告知瀏覽器供應(yīng)商并預(yù)計(jì)這個(gè)漏洞很快將得到修復(fù)。

在此之前，如果攻擊者發(fā)現(xiàn)了這個(gè)安全漏洞，就能夠?qū)懭氪�碼來(lái)檢查是否有網(wǎng)民登錄到銀行網(wǎng)站。“不僅僅通過(guò)這個(gè)隨機(jī)彈出釣魚(yú)信息，在線(xiàn)釣魚(yú)攻擊者還可以通過(guò)探測(cè)來(lái)發(fā)現(xiàn)用戶(hù)是否在登錄金融機(jī)構(gòu)網(wǎng)站以進(jìn)行更復(fù)雜的攻擊。”他表示。

“事實(shí)上，只要用戶(hù)在線(xiàn)就可能收到釣魚(yú)信息，”Klein補(bǔ)充說(shuō)道。

安全研究人員已經(jīng)研究出其他方法來(lái)識(shí)別受害者是否正登錄到某個(gè)網(wǎng)站，但信息也不是完全可靠，Klein表示他的方法不是完全可行的，但是可以在很多網(wǎng)站使用，包括銀行、購(gòu)物網(wǎng)站、游戲和社交網(wǎng)站等。