也就是說看到真的網址也有可能是釣魚詐騙的
要留意
1。瀏覽器上的輸入的小視窗
2。或跳出來的視窗
以下是 chatgpt 說的
瀏覽器內瀏覽器(Browser-in-the-Browser, BitB)釣魚攻擊是一種社交工程攻擊,模擬合法的登入視窗來欺騙使用者輸入憑證。這種攻擊主要利用 HTML、CSS 和 JavaScript 創建一個仿真的「彈出式登入視窗」,讓受害者以為他們正在輸入憑證到合法的網站(如 Google、Facebook 或 Microsoft),實際上這些資訊會直接被攻擊者竊取。
BitB 攻擊原理
-
仿造登入視窗
-
攻擊者使用 HTML 和 CSS 製作一個與真實登入彈出視窗幾乎一模一樣的視覺界面。
-
包含 URL 欄、網站標誌、輸入欄位等,甚至支援拖動來模仿真正的瀏覽器行為。
-
-
誘導使用者點擊
-
透過釣魚郵件、惡意網站或社交工程手段,引導使用者點擊假登入視窗。
-
-
竊取使用者憑證
-
當使用者輸入帳號密碼後,攻擊者的腳本會將這些資訊發送到遠端伺服器。
-
BitB 與傳統釣魚攻擊的差異
| 特性 | 傳統釣魚攻擊 | BitB 釣魚攻擊 |
|---|---|---|
| 網址欺騙 | 需要類似域名(如 g00gle.com) | 視覺上與真實域名相同 |
| 技術難度 | 依賴 DNS 欺騙、域名相似性 | 依賴前端開發(HTML、CSS、JS) |
| 使用者警覺性 | 可透過檢查網址發現異常 | 難以察覺,因為視窗外觀一致 |
| 影響範圍 | 需要惡意網站 | 任何網頁內部都可能出現 |
如何防範 BitB 釣魚攻擊
-
檢查登入視窗是否可拖動到外部
-
BitB 釣魚窗口通常是 HTML 元素,無法拖離瀏覽器的主要視窗。
-
-
使用密碼管理器
-
密碼管理器通常只會在真正的網站上自動填充憑證,不會識別 BitB 釣魚窗口。
-
-
啟用多因素驗證(MFA)
-
即使密碼被盜,也需要額外的身份驗證才能登入。
-
-
檢查開發者工具(F12)
-
使用瀏覽器的開發者工具檢查登入視窗的結構,發現它是否只是 HTML 內嵌。
-
-
關閉可疑的登入窗口,從官網手動登入
-
如果遇到彈出式登入窗口,可關閉它並手動打開該網站來登入。
-
結論
Browser-in-the-Browser(BitB)攻擊是近年來越來越流行的一種釣魚手法,特別適用於竊取各大雲端服務的登入憑證。由於視覺上幾乎無法區分真假,使用者需要提高警覺,並採取適當的安全措施來防止受騙。
留言