当前位置:最新资讯  >  ip加速器  >  钓鱼新姿势:加速器全屏API伪装浏览器界面方式分析

钓鱼新姿势:加速器全屏API伪装浏览器界面方式分析

 

概述

目前,涉及到加密货币的许多网站,特别是需要用户输入机密信息的平台,加速器都会建议用户检查URL地址栏,从而查看是否包含正确的SSL证书(有些平台中,会特定为EV证书)和正确的URL。因此,许多用户对这一点记忆深刻,并将其作为第一项检查的内容。但近期,我们发现了一种新型钓鱼方式,如果用户访问攻击者特制的页面,可能会产生一种虚假的“安全感”。

 

我们首先要强调,本文所描述的钓鱼方式,与涉及到的任何产品(包括MyCrypto、Binance、Google Chrome、Firefox、Brave)中的漏洞无关。相反,攻击者创建了一个虚假的网站,并使用户相信他们访问的是合法的网站。

作为用户,应该始终保持警惕,特别是在处理加密货币的过程。并且,用户应该选择其他具有安全性的机制,包括双因素认证、脱机运行、硬件钱包等。但不幸的是,包括MyCrypto和Binance在内的一些网站,目前都还没有相应的机制来缓解这类攻击。

针对PoC的分析

通过使用浏览器的全屏API、一些用于检测浏览器的JavaScript以及一些图像,我们可以几乎以假乱真的欺骗用户,让用户相信自己正在访问正确的域名。上述视频就是我们制作的PoC。

尽管乍一看,用户似乎离开了127.0.0.1:5500的这台服务器,但实际上并没有。为深入了解这种新型钓鱼方法,我们将分解各个页面,进行详细分析。

网络钓鱼

第一个视图仅用于演示目的,这是一个带有MyCrypto合法链接的简单视图。然而,可以想象一下,攻击者将其作为野外的某个恶意加密货币新闻网站,或者是某个说明如何使用MyCrypto的博客文章,或者是恶意AirDrop的网站链接。不管怎样,其最终目的都是试图诱导用户点击有效的MyCrypto.com链接。

网络钓鱼

在用户单击链接后,浏览器将被强制进入全屏模式,并显示一些图像,这些图像看起来就像是用户浏览器的框架。我们使用了一些简单的JavaScript来检测用户正在运行的浏览器,并针对不同浏览器显示出不同的浏览器框架图像。

网络钓鱼

接下来,我们假设MyCrypto不会弃用网络上的私钥,或者用户使用的是要求提供私钥的产品。在这里,攻击者会要求用户输入密钥,并在用户键入时对其进行记录(如下所示)。

网络钓鱼

这部分,并不会像PoC那样冗长,但足以能够表明用户从来没有离开过127.0.0.1:5500这台服务器,但用户操作浏览器时看起来就像是在MyCrypto.com网站上一样。

除非用户具有额外的身份验证机制,或者用户具有足够的警惕性,否则直至此时,用户的私钥已经被攻击者窃取,并且资金也很可能已经被盗。

现在,让我们看看另外一个例子,这是同样非常流行的Binance交易所。这个平台的安全性相对较好,因为平台会建议用户应该检查登录页面上的地址栏,这通常是一个很好的安全建议。

安全建议

保持警惕,用户需要仔细检查自己的浏览器是否已经进入到全屏模式。
绝对不要将凭据或私钥输入通过点击链接到达的网站中。在任何时候,建议都自行访问网站,或者通过自己创建的书签点击。
安装EtherAddressLookup浏览器扩展,从而防止访问已知的恶意域名。
密切关注EtherScamDb目录。
在社区中,学习并分享关于新型网络钓鱼策略的知识。
如果你认为某些关键内容突然从页面中消失,或者当前正在访问的页面有任何异常,请相信你的直觉,并找到可靠的依据。
尽可能使用硬件钱包和双因素认证(2FA),用户可以选购Ledger钱包或Trezor。
在使用加密货币相关平台时,尽量使用桌面应用程序,或离线运行(例如MyCrypto Desktop APP)。
目前,我们还没有证据表明该恶意活动是针对网络加密货币用户执行的。

 

公司地址:深圳市龙岗区横岗街道力嘉路115号2楼
客服 QQ:4333055(工作时间:24小时 x 7)
联系邮箱:go@vpnid.com
免责声明    |    使用条款    |    服务协议
© Copyright 2015-2019 [vpnid.com] 飘起科技, All rights reserved.   粤ICP备19006563号-1
用户不得利用飘起科技VPNID从事危害国家安全、泄露国家机密等犯罪活动,不能利用飘起科技VPNID查阅、复制和传播危害国家安全、妨碍社会治安和淫秽黄色信息,不能利用飘起科技VPNID发布恶意的、
向他人挑衅的信息,若用户违反,本公司有权立即停止服务并将向相关部门报告,一切后果由用户自行负责。