劫持Chrome瀏覽器的“新方法”

責任編輯:editor005

作者:Alpha_h4ck

2016-09-02 14:47:49

摘自:黑客與極客

通常情況下,網(wǎng)絡犯罪分子在通過技術(shù)支持服務來進行詐騙活動時,需要使用到一些釣魚網(wǎng)站,并在釣魚頁面中包含一些偽造的警告信息。他們的新型詐騙策略需要用到一個經(jīng)過特殊設計的技術(shù)支持頁面,這個網(wǎng)站頁面要模仿微軟官方網(wǎng)站的界面風格來實現(xiàn)。

通常情況下,網(wǎng)絡犯罪分子在通過技術(shù)支持服務來進行詐騙活動時,需要使用到一些釣魚網(wǎng)站,并在釣魚頁面中包含一些偽造的警告信息。詐騙分子需要通過這些警告信息來欺騙用戶,讓他們立刻去訪問鏈接中的技術(shù)支持中心來獲取幫助服務。這也是一種常見的攻擊方式。但是在這篇文章中,我們將會給大家介紹一種專門針對谷歌Chrome瀏覽器用戶的新型詐騙技術(shù)。

網(wǎng)絡詐騙分子又出新花樣

告訴大家一個消息,通過技術(shù)支持服務來進行網(wǎng)絡詐騙的犯罪分子們又設計出了一種新的花招來欺騙那些不明真相的吃瓜群眾。通過一張精心設計的圖片文件,在配合谷歌Chrome瀏覽器的全屏模式,攻擊者就可以開始對你進行攻擊了。

他們的新型詐騙策略需要用到一個經(jīng)過特殊設計的技術(shù)支持頁面,這個網(wǎng)站頁面要模仿微軟官方網(wǎng)站的界面風格來實現(xiàn)。

當用戶通過Chrome瀏覽器訪問這個偽造的頁面時,隱藏在頁面中的JavaSrcipt代碼會將用戶的Chrome瀏覽器切換至全屏模式。使用過Chrome瀏覽器的同學肯定都知道,此時瀏覽器頂部的工具欄會自動隱藏,當然也包括地址欄在內(nèi)。這時候,詐騙分子就可以在網(wǎng)頁頂部加載一個JPEG格式的圖片,并將其外觀設計成與Chrome的工具欄一模一樣。

當用戶將他們的鼠標移動到頁面頂部的區(qū)域時,他們并不會發(fā)現(xiàn)任何的異常。除非用戶使用了某種自定義的Chrome主題,或者使用的是用戶界面風格不同的Chrome瀏覽器。

“逼真”的地址欄

這個偽造出來的地址欄非常有意思,因為我們這些年來一直都在告訴用戶,在訪問一個網(wǎng)站之前,一定要確認瀏覽器地址欄中的URL地址是否為合法正規(guī)的網(wǎng)站地址。當瀏覽器加載了這個詐騙頁面之后,瀏覽器便會自動進入全屏模式。這一切操作完成之后,該頁面還會通過不斷彈出警告窗口的形式來防止用戶關(guān)閉該網(wǎng)頁。

接下來,讓我們來看一看這個如此“逼真”的地址欄,網(wǎng)頁界面如下圖所示。實際上,下圖所示的這個網(wǎng)站看起來的確和微軟公司的官方網(wǎng)站沒多大區(qū)別,除了地址欄中的URL參數(shù)“ru-ru”(俄羅斯?)看起來有些可疑之外,其他的設計還是不錯的。

現(xiàn)在,讓我們來深入分析一下,這種偽造頁面到底是如何實現(xiàn)的。我們發(fā)現(xiàn),這個偽造出來的地址欄無非只是一張JPEG格式的照片而已,這張圖片被放置在了一個恰當?shù)奈恢?,所以當Chrome切換到全屏模式時,它才會看起來非常的逼真。

偽造出原生風格的Chrome彈出窗口

Malwarebytes公司的安全團隊在發(fā)現(xiàn)了這種新型的攻擊技術(shù)之后,他們又發(fā)現(xiàn)了另外一種針對Chrome用戶的網(wǎng)絡詐騙技術(shù)。

Chrome瀏覽器有一個非常有意思的功能,它提供了一個“阻止該頁面彈出額外窗口”的選項,這個功能非常的有用。因為很多網(wǎng)站在用戶關(guān)閉網(wǎng)頁的時候,會彈出一些類似“您確定要離開這個頁面嗎?”以及“您真的確定要這樣做嗎?”這樣的彈窗警告,很多用戶對此確實深表反感。

在另一種攻擊場景中,詐騙分子可以模仿Chrome原始的警告彈窗風格來偽造出一個彈出窗口。Chrome瀏覽器會詢問用戶是否需要禁用該頁面的彈窗功能,此時就是這個偽造彈窗發(fā)揮作用的時候了。當用戶選擇禁用該頁面的彈窗功能之后,詐騙分子就可以通過這種偽造的彈窗來不斷地顯示出更多的警告窗口。

詐騙分子所期望的是,當Chrome瀏覽器檢測到了網(wǎng)站頁面中帶有JavaSript彈窗警告功能時,向用戶顯示“是否需要禁用該頁面的彈窗功能”的確認窗口,用戶會根據(jù)自己的實際需要來進行選擇。但是當用戶點擊了偽造彈窗中的“OK”按鈕之后,網(wǎng)頁將會彈出更多的窗口。

細心的同學們可能已經(jīng)發(fā)現(xiàn)了,上圖所示的對話框中甚至還出現(xiàn)了單詞拼寫錯誤的情況,詐騙分子們能不能用點心啊?可能看到這里,朋友們甚至已經(jīng)忘記了真實的Chrome對話框是什么樣子的了,請往下看:

請注意,詐騙分子在這里還用了另外一個小技巧,即上圖所示的“PressESC, to close this page!”(按下ESC鍵關(guān)閉該頁面)。這里存在幾個錯誤:首先,這段代碼中存在語法錯誤,因為我們不會在一句完整的話中加入逗號;除此之外,這也并不是Chrome瀏覽器會提供的功能。

結(jié)束語

安全研究專家認為,基于瀏覽器的技術(shù)支持詐騙目前還不會引起非常大的麻煩。但不好的消息是,大多數(shù)瀏覽器都無法抵御惡意JavaSript腳本的攻擊,當這些惡意腳本修改了用戶的瀏覽器配置之后,用戶將不得不向技術(shù)支持服務中心尋求幫助。

就目前的情況來看,想要發(fā)現(xiàn)這些詐騙行為其實并不容易,所以我們才認為需要將這種詐騙技術(shù)的內(nèi)部工作機制曝光出來。

* 參考來源:Malwarebytes,本文由Alpha_h4ck編譯,轉(zhuǎn)載請注明來自FreeBuf(Freebuf.COM)

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號