中原標準時間6月19日,來自phishlabs的安全研究人員表示他們發現了一種新型的釣魚方式,這一手段已經讓大量在手機端使用facebook的使用者中招,黑客利用了手機端url位址欄長度不足的劣勢引導使用者進入釣魚網站。
研究人員透露,新的攻擊政策依賴于移動浏覽器具有url位址欄過窄,進而阻礙了使用者檢視全部連結内容的漏洞。利用這個漏洞,黑客用子域名和連字元等字元串來填充url,這讓整個連結在移動裝置中看起來十分真實,可一旦使用者進入則會引導使用者到釣魚網址。
該公司還提供了一個例子比如-hxxp://m.facebook.com,這裡http已經被hxxp替代了。而很多時候使用者并不能很好的分辨清楚,但是他們通路的已經是一個釣魚網址,他們在該網址的所有動作都會把自己的資料送給黑客,而黑客再利用這些資料傳遞垃圾郵件把釣魚網址發送給給使用者的朋友,進而傳染更多使用者。
事實上,這一點曾在pc端也有出現過,但是由于pc端的位址欄較長,一些釣魚網址很容易識破。而在手機端,url填充方法就非常有效地掩蓋了網站的真實域名,移動使用者很難發現這一問題。
而解決這一問題的辦法在于确認并檢查完整域名,而不僅僅是http的部分,每一個字元的錯誤都可能進入釣魚網站;安全掃描,屏蔽大多數釣魚網站;不要點選短信和郵件裡的連結,這些連結的危險度較高,如果有必要一定要仔細檢查。
本文轉自d1net(轉載)