您是否见过作为网络钓鱼诈骗一部分的虚假登录页面? 他们通常在链接的另一端等待,该链接将人们带到一个非常可信的登录页面以获取流行的服务。 例如,您可能会看到有人在 Facebook 上谈论带有链接的视频。 您单击它可以观看视频,但它不会引导至 Facebook,而是引导至一个假冒的 Facebook 外观,要求您提供登录详细信息才能观看视频。 这个想法是,人们认为他们已经从 Facebook 注销并重新登录,只是将他们的登录详细信息交给骗子。
当然,人们已经意识到这种骗局,所以骗子越来越难以从虚假链接中获取登录详细信息。 然而,互联网上出现了一种新的网络钓鱼方法:tabnapping。
抓到午睡
如今,诈骗者正在远离直接攻击,希望能够欺骗用户。 现在,他们专注于在您没有 100% 集中注意力时“处于自动驾驶状态”时攻击您。 过去有很多恶意攻击,但 tabnapping 是最邪恶的攻击之一。
以下是 Tabnapping 的工作原理。 有人建立了一个看起来完全正常的网站。 在网站代码中,他们放置了一个检查器来查看该选项卡是否已变为“非活动状态”。 非活动选项卡是您当前未查看的选项卡。 如果您的浏览器中现在有任何选项卡,那么非活动选项卡就是您没有阅读本文的所有选项卡。
用户访问这个看似无害的网站并认为它没有任何问题。 然后他们会切换到另一个选项卡; 例如,也许有人在 Facebook 上给他们发了消息。 这意味着“无辜”的网页已经变得不活跃,然后激活了诈骗者的代码。
这是代码的作用; 首先,它确保它在足够长的时间内处于非活动状态,以确保您已经忘记了它。 一旦等待时间结束,它首先将网站内容更改为虚假的登录页面,例如 Gmail。 然后它会更改站点的“favicon”,这是您在选项卡上看到的小图片图标。 MakeTechEasier 的图标是蓝色的“MTE”标志。 它还将页面名称从原来的名称更改为“Gmail:来自 Google 的电子邮件”。
这样做的目的是制作一个几乎与 Gmail 登录页面相同的页面。 如果您长时间、仔细地查看选项卡,您将能够立即发现问题所在。 当然,因为你沉浸在日常生活中,你不会注意到它。 然后你记得你需要把那封电子邮件发送给你的朋友,所以你转到不活动的“Gmail”选项卡。 哦,但是 Gmail 已将您注销并再次需要登录信息。 好麻烦! 让我们重新输入登录详细信息。 这样就完成了 tabnapping 攻击。
如果您想在自己的浏览器中观看 Tabnapping 的现场演示,请打开这个页面关于 tabnapping在新标签页中。 允许网页完全加载。 按 Tab 键返回本文并观看 Tabnapping 选项卡五秒钟。 五秒钟后,它会“神奇地”变成一个假的 Gmail 标签页。
虽然这只是一个演示,并且没有虚假的 Gmail 登录页面来欺骗您,但您可以想象,如果在该选项卡上有一个细节完美的 Gmail 登录页面,那将是多么令人信服。 这表明诈骗者可以竭尽全力获取您的详细信息。
密切关注网络钓鱼
这一切听起来很可怕,这是理所当然的。 您的任何选项卡都可以变成令人信服的网络钓鱼攻击的想法非常令人担忧! 值得庆幸的是,虽然诈骗者可以更改内容和标签信息以使其看起来与官方服务相同,但他们永远无法完美复制一件事——页面的 URL。
当然,诈骗者已经尽力使用看起来几乎与真实事物相似的 URL。 但是,逐字复制 URL 是不可能的,这是从错误的登录页面中找出好的登录页面的主要方法。 如果出于任何原因出现登录页面,请检查 URL。 如果它看起来有问题,例如复杂的 URL 或缺少“https”证书,请不要使用它! 关闭它,打开一个新选项卡,然后从那里手动导航到真正的交易。 这是真实的 Facebook 选项卡及其定义功能的示例:
可怕,但并非不可察觉
Tabnapping 是欺骗用户的更邪恶的方法之一,掠夺未使用的选项卡以及我们不检查已经用于诈骗的页面的习惯。 通过在登录时小心谨慎,您可以避免跳转并确保您的信息安全。
您曾经或几乎是小偷的受害者吗? 你怎么看待这个非常邪恶的把戏? 遇到它你觉得它会骗你成功吗? 让我们在评论中知道。
订阅我们的新闻!
我们最新的教程直接发送到您的收件箱
注册所有时事通讯。
注册即表示您同意我们的隐私政策,欧洲用户同意数据传输政策。 我们不会共享您的数据,您可以随时取消订阅。
订阅
