[Video]逼真的冒牌货

研究人员表示,网络钓鱼者通过在恶意网站上提供逼真的单点登录窗口复制品来骗取人们的 Facebook 密码。

单点登录(SSO)是在一个多系统共存的环境下提供便利的东西,用户在一处登录后,就不用在其他系统中登录(通常是 Facebook,Google,LinkedIn 或 Twitter)。

密码管理服务 Myki 的研究人员最近发现了声称一个从 Facebook 提供SSO的网站。如下面的视频所示,登录窗口看起来几乎与真正的 Facebook SSO 相同,但它是假的。

在这里看到视频:

这个假货并没有在 Facebook API 上运行,也没有以任何方式与社交网络连接。相反,它破坏了用户名和密码。

使登录窗口看起来如此真实的一个原因是它几乎完美地再现了用户在登陆真正的 Facebook SSO 时会看到的内容。

状态栏、导航栏、阴影和基于 HTTPS 的 Facebook 地址看起来几乎完全相同。然而,在网络钓鱼页面上显示的窗口是使用 HTML 块呈现的,因此,伪造的 SSO 页面中的任何内容都直接输送到网络钓鱼者那边。

但有一种简单的方法可以帮助任何用户识别它是假的。来自 Facebook 和 Google 的正版SSO可以在第三方网站的窗口之外拖动而不会使登录提示的任何部分消失;相比之下,假SSO的部分在这样做时就消失了。另一个迹象是,密码管理器的自动填充功能不起作用。当然,你可以直接查看源代码以识别伪造。

该造假重申了使用双因素身份验证的重要性。

广告

发表评论

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据