垂纶新姿势:全屏API伪装赏识器界面方法说明
|
概述 今朝,涉及到加密钱币的很多网站,出格是必要用户输入机要信息的平台,城市提议用户搜查URL地点栏,从而查察是否包括正确的SSL证书(有些平台中,会特定为EV证书)和正确的URL。因此,很多用户对这一点影象深刻,并将其作为第一项搜查的内容。但近期,我们发明白一种新型垂纶方法,假如用户会见进攻者特制的页面,也许会发生一种卖弄的“安详感”。
我们起主要夸大,本文所描写的垂纶方法,与涉及到的任何产物(包罗MyCrypto、Binance、Google Chrome、Firefox、Brave)中的裂痕无关。相反,进攻者建设了一个卖弄的网站,并行使户信托他们会见的是正当的网站。 作为用户,应该始终保持鉴戒,出格是在处理赏罚加密钱币的进程。而且,用户应该选择其他具有安详性的机制,包罗双身分认证、脱机运行、硬件钱包等。但不幸的是,包罗MyCrypto和Binance在内的一些网站,今朝都还没有响应的机制来缓解这类进攻。 演示视频(YouTube):https://youtu.be/ebWftq6kA30 针对PoC的说明 通过行使赏识器的全屏API、一些用于检测赏识器的JavaScript以及一些图像,我们可以险些以假乱真的诱骗用户,让用户信托本身正在会见正确的域名。上述视频就是我们建造的PoC。 尽量乍一看,用户好像分开了127.0.0.1:5500的这台处事器,但现实上并没有。为深入相识这种新型垂纶要领,我们将解析各个页面,举办具体说明。
第一个视图仅用于演示目标,这是一个带有MyCrypto正当链接的简朴视图。然而,可以想象一下,进攻者将其作为田野的某个恶意加密钱币消息网站,可能是某个声名怎样行使MyCrypto的博客文章,可能是恶意AirDrop的网站链接。不管奈何,其最终目标都是试图诱导用户点击有用的MyCrypto.com链接。
在用户单击链接后,赏识器将被逼迫进入全屏模式,并表现一些图像,这些图像看起来就像是用户赏识器的框架。我们行使了一些简朴的JavaScript来检测用户正在运行的赏识器,并针对差异赏识器表现出差异的赏识器框架图像。
接下来,我们假设MyCrypto不会弃用收集上的私钥,可能用户行使的是要求提供私钥的产物。在这里,进攻者会要求用户输入密钥,并在用户键入时对其举办记录(如下所示)。
这部门,并不会像PoC那样冗长,但足以可以或许表白用户从来没有分开过127.0.0.1:5500这台处事器,但用户操纵赏识器时看起来就像是在MyCrypto.com网站上一样。 除非用户具有特另外身份验证机制,可能用户具有足够的鉴戒性,不然直至此时,用户的私钥已经被进攻者窃取,而且资金也很也许已经被盗。 此刻,让我们看看其它一个例子,这是同样很是风行的Binance买卖营业所。这个平台的安详性相对较好,由于平台会提议用户应该搜查登录页面上的地点栏,这凡是是一个很好的安详提议。 演示视频(YouTube):https://youtu.be/hOgPAhEXNSw 从上面的演示视频中,可以看出,除非用户全神灌输于屏幕,不然很轻易成为这个新型垂纶要领的受害者。 针对其他赏识器的测试 我之条件到过,我们可以行使JavaScript来检测用户所行使的赏识器,并针对差异的赏识器表现出相对应的图像。 在Firefox中,赏识器切换到全屏模式后的提醒会轻微明明一些。可是,全心结构的PoC并不会触发alert()以表现带有现实地点栏的提醒。在这里,行使alert()发生提醒并没有现实上的意义。 演示视频(YouTube):https://youtu.be/phmS05-hF1Y 假如行使Brave,现实上与Chrome的体验沟通,缘故起因在于Brave基于与Chrome沟通的Chromium收集赏识器。 演示视频(YouTube):https://youtu.be/qYnY2DOd5fo 安详提议
今朝,我们还没有证据表白该恶意勾当是针对收集加密钱币用户执行的。 本文翻译自: https://medium.com/mycrypto/unique-phishing-method-to-look-out-for-the-fullscreen-api-e6cd08a6293a 【编辑保举】
点赞 0 (编辑:河北网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
