Fw: [新聞] 新釣魚攻擊「瀏覽器中的瀏覽器」竊取玩家

新釣魚攻擊「瀏覽器中的瀏覽器」竊取玩家Steam帳號，安全專家提醒注意
https://www.4gamers.com.tw/news/detail/55066/

全球擁有超過 1.2 億玩家數的 Steam 平台，因許多遊戲的虛擬物品在市集交易有利可圖，一直是網路釣魚攻擊的重點目標，而海外網路安全組織 CERT-GIB 近日公開一種全新的網路釣魚技術「瀏覽器中的瀏覽器」（browser-in-the-browser），能夠成功偽造 SSL
憑證並騙取玩家帳號資訊，呼籲玩家與 Valve 特別注意。

這個「瀏覽器中的瀏覽器」手方為網路研究員 mr.d0x 在 2022 年春季所發現，簡單來說，這些駭客利用釣魚資源創造一個彈出式的帳號登入視窗，從外表上該視窗與真實的登入視窗沒有區別，而玩家透過該視窗輸入的帳號資訊即會被竊取。

根據 CERT-GIB 描述，不法份子會先建立目前許多當紅遊戲電競賽事活動網頁，像是《
CS:GO》、《PUBG》等作品，這些網頁都是安全的，但該網頁會誘使玩家登入並連結
Steam 或其他遊戲帳號，而點擊登入所彈出的登入視窗則是駭客們所假造的。

在防範一般的傳統釣魚攻擊時，通常會以 URL 網址是否正確，同時也會確認網址旁的綠色鎖頭符號，即為 SSL 憑證來證明其安全性。

然而，這個「瀏覽器中的瀏覽器」手法卻繞過這個限制。一開始玩家進入的詐騙網頁是合法安全的，但是點擊該網頁連結所彈出的瀏覽器視窗卻是偽造的，而且該瀏覽器能夠偽造 SSL 憑證，且你在 URL 看不出什麼區別。

換言之，一般的瀏覽器安全架構防得住表面第一層，但彈出式瀏覽器安全性則有嚴重漏洞，當玩家信以為真，認為登入視窗是合法安全之際輸入帳號資訊，他們就得手了。該手法甚至也能應用在 Google、Facebook、Twitter 等其他 SNS 平台的登入。

CERT-GIB 揭露這些詐騙網頁的連結經常透過其他 SNS 平台散播，你可能在 YouTube 某個頻道的短網址就點進去，然後被詐騙活動網頁誘使去登入遊戲帳號，因此無論如何，不要點擊不信任的來源的連結，也需要仔細過濾 SNS 通知消息或電子郵件，避免落入新釣魚攻擊的圈套。

====

詐騙技術越來越厲害了....

這招真的厲害。

--
「星耀如眼，賜吾輩目光。
取吾奉獻，予吾輩力量。
此等威力，暗夜淚光芒。」
─黑暗祭禮

--