安全公司披露黑客新型钓鱼攻击手法，利用虚假弹窗登录页

IT之家 6 月 2 日消息，安全公司 SquareX 发文披露了一种名为“Browser in the Middle”的新型钓鱼攻击手法，能让黑客在暗中窃取用户的账号密码等敏感信息。

据介绍，“Browser in the Middle”属于中间人攻击的一种，也就是虚假的弹窗登录页（黑客山寨 Steam 等网站的登录页面，欺骗用户自己输入账号密码），目前业界主流的 Chrome、Edge、Safari 浏览器都存在设计缺陷，黑客可以利用浏览器的 Fullscreen API，将相应弹窗登录页设置为“全屏显示”，这样就能隐藏 URL，大大降低被用户发现的几率。

▲ 黑客设计的山寨 Steam 弹窗登录页面

研究人员指出，目前各大浏览器的 Fullscreen API 并未明确规定第三方网站该如何触发全屏，因此黑客可以在相应钓鱼弹窗中加入一个假的“登录”按钮，用户点击后就会被偷偷切换到全屏，进而降低用户关闭全屏查看核对 URL 的概率。

研究人员同时表示，苹果 Safari 浏览器风险最高，这是因为 Safari 在切换到网页全屏模式时不会显示任何提示。而基于 Chromium 内核的浏览器（如谷歌 Chrome、微软 Edge）虽然会弹出提示，但也只会短暂显示几秒，用户难以注意到。

▲ 黑客利用 Fullscreen API 让钓鱼登录页变成全屏，进一步增加用户自己输入账号密码的可能性