当我们教人们如何避免成为网络钓鱼网站的受害者时,我们通常建议仔细检查地址栏以确保它确实包含 HTTPS 并且 不包含可疑域(如 google.evildomain.com)或替代字母(如 g00gle) .com。但是,如果有人找到了一种使用不包含这些迹象的恶意网站来钓鱼密码的方法呢?
一位研究人员设计了一种技术来做到这一点。他称其为 BitB,是“浏览器中的浏览器”的缩写。它使用真实浏览器窗口中的虚假浏览器窗口来欺骗 OAuth 页面。成千上万的网站使用OAuth 协议让访问者使用他们在 Google、Facebook 或 Apple 等公司的现有帐户登录。访问者不必在新站点上创建帐户,而是可以使用他们已经拥有的帐户,而 OAuth 的魔力可以完成其余的工作。
利用信任
例如,照片编辑网站 Canva 为访问者提供了使用三个常用帐户中的任何一个登录的选项。下图显示了用户单击“登录”按钮后看到的内容;之后,图像显示选择使用 Google 密码登录后出现的内容。用户选择 Google 后,一个具有合法地址的新浏览器窗口会在现有 Canva 窗口前面打开。
