3年前資安人員mr.d0x揭露一種名為Browser-in-the-Browser(BitB)的攻擊手法,駭客在網頁上製作幾可亂真的瀏覽器視窗介面,企圖引誘使用者上當,依照指示進行操作輸入帳密,如今類似的攻擊行動再度出現。
資安業者Silent Push發現新一波的BitB網路釣魚攻擊行動,駭客鎖定絕對武力2(Counter-Strike 2,CS2)的玩家而來,意圖藉此竊取他們的Steam帳號。比較特別的是,駭客為了取信玩家,他們還濫用專業電競團隊Navi的名號。
附帶一提的是,雖然研究人員看到駭客主要針對英文使用者而來,但也有例外,其中一個釣魚網站simplegive[.]cn使用了簡體中文。
這些釣魚網站打著Navi的名號,聲稱提供免費道具箱(Free Case)給玩家。一旦玩家依照指示點選想要的道具箱內容,網站就會顯示Steam登入視窗。值得留意的是,雖然這個登入介面看起來像是彈出式視窗,但實際上,這是駭客運用了BitB手法,建置於釣魚網頁裡面的假視窗,若是玩家輸入帳密資料,駭客就會挾持他們的Steam帳號。為了引誘更多玩家上當,駭客也冒用Navi電競選手的名號,透過YouTube散布釣魚網站的資訊。
究竟玩家該如何防範BitB攻擊?研究人員指出,正常的視窗能最大化、最小化,或是移出原本的瀏覽器視窗範圍,這些都是BitB的假彈出式視窗做不到的。因此,他們呼籲使用者在存取要求登入的彈出式視窗,務必要嘗試將其拖曳到原本的瀏覽器視窗之外,以免掉入BitB的圈套。此外,此遊戲的唯一下載管道是Steam,若有其他的網站聲稱提供遊戲安裝程式,玩家也要提高警覺。
