“新型网络钓鱼攻击利用全屏API窃取用户信息”

放牛哥

ChMkK2g93fKIXL0GAAj9sig16rgAAtJgwBQVQUACP3K495.png

近日，网络安全公司SquareX发布报告，揭示了一种名为“Browser in the Middle”的新型网络钓鱼攻击方式。该手法可让攻击者在用户毫无察觉的情况下窃取账号密码等重要信息。
这种攻击属于“中间人攻击”的一种变种。其核心方式是通过伪造登录弹窗页面，诱导用户输入账号和密码，从而实现信息盗取。当前主流浏览器，包括Chrome、Edge和Safari，均存在设计上的漏洞，可能被攻击者利用Fullscreen API将钓鱼页面设置为全屏显示，借此隐藏真实的网址，提高欺骗的成功率。
安全研究人员指出，Fullscreen API目前并未对第三方网站触发全屏的行为作出明确限制，这使得黑客可以在钓鱼窗口中嵌入一个伪装的“登录”按钮。当用户点击后，系统便会自动进入全屏模式，从而让用户更难察觉异常，并减少了用户退出全屏去核对网址的可能性。
研究人员特别指出，苹果的Safari浏览器在这方面的风险最高，因为其在切换至全屏时不会给出任何提示。而对于基于Chromium内核的浏览器，例如Chrome和Edge，虽然在进入全屏时会有短暂提示，但由于显示时间极短，多数用户难以注意到这一细节。