搜尋此網誌

2010年6月4日 星期五

[技術分享] Tabnabbing - 釣魚攻擊新手法

Aza_Raskin之前我在分享有關釣魚攻擊的手法時,提到了 CEH 的分類。而根據 Aza Raskin 於日前所發表的網誌中,他提到了一種稱之為 Tabnabbing 的新攻擊手法。簡單來說,這種攻擊手法就是利用瀏覽器的頁籤功能,當使用者切換至其它頁籤時,將原先頁籤的內容導到另外一個假冒的網頁,當然,這個假冒的網頁會要求你輸入帳號/密碼。

網誌中提到的攻擊情境為:

  1. 使用者瀏覽你 (含有惡意程式) 的網頁。
  2. 利用程式偵測網頁是否已經失去焦點 (也就是切換到別的頁籤) 並持續一段時間。如果一失去焦點就執行攻擊,被使用者發現的機會相對增加不少。
  3. 將網址列的圖示 (favicon) 改為 gmail 的圖示,並將標題修改成相關的字樣。
  4. 當使用者發現到修改過標題的頁籤時,會以為這是 gmail 的畫面。而當看到畫面呈現登入選項時,將會輸入 gmail 的帳號/密碼進行登入。
  5. 你的程式取得使用者的 gmail 帳號/密碼之後,將畫面導回到真正的 gmail 網址。如果原先使用者已經成功登入過 gmail 的帳號,這樣的導向將會更加容易。

在上述的攻擊情境中,有一個比較麻煩的地方,就是如何讓使用者連到含有惡意程式的網頁。回到之前釣魚攻擊的分類中,有一種手法叫做跨網站腳本攻擊 (Cross-Site Scripting Attack) 正可以解決此一難題。透過跨網站腳本攻擊,可以在使用者平常存取的網站中植入我們所需的惡意程式碼,而不需要使用者連到我們所精心設計的網頁。

為了增加成功率,網誌中提到可以實際偵測使用者目前已經登入的網站,然後針對這些網站進行釣魚攻擊。另外,也可以在假冒的網頁上顯示登入逾期的訊息,更進一步降低使用者的疑慮。至於解決之道,Aza Raskin 認為避免使用帳號/密碼當作身分驗證機制是一個比較有效的解法。可惜的是,對於大部分的網站而言,帳號/密碼依舊是最常用、也是唯一的身分識別機制。

Aza Raskin 不只在網誌中說明了這種攻擊手法,而且該篇網誌也會確實執行上述的動作。只不過假冒的網頁是一個 gmail 登入畫面的截圖,而不是可以真正輸入資料的對話框。原本我以為這是他為了展示而不希望讀者真的上當才這樣做,不過他自己倒是解釋為因為太懶才這樣做。除了文字說明外,網誌上也提供了一段實際運作時的錄影片段。有興趣的讀者可以連結到 這裡 試看看囉。

 

相關連結:

About