Mozilla發現網釣新手法：標籤綁架

Mozilla Firefox瀏覽器的介面及創意負責人Aza Raskin最近發現了一個新的網釣手法，可改變使用者瀏覽網頁的標籤及介面，以誘導使用者輸入網路服務的帳號與密碼。

Raskin將此一新的手法稱為標籤綁架（tabnapping），指出當使用者連上一個嵌有第三方script程式或Flash工具的網頁時，就會讓自己曝露於風險中，因為相關的惡意程式得以偵測使用者經常使用或正在使用的網路服務，在使用者暫時離開該網頁後，該網頁內容及網頁標籤會悄悄地變身成為偽造的網路服務，並誘導使用者輸入個人資訊。

Raskin直接以其個人部落格展示了這項攻擊手法，假設使用者同時開啟多個網頁標籤，其中一個是Raskin的部落格，當使用者點選了其他標籤、暫時離開該部落格，幾秒後該部落格的標籤及介面就會變成Gmail，並呈現未登入狀態。駭客可以將該網頁偽裝成任何使用者經常造訪的網站，例如若以金融網站取代Gmail，使用者也許會以為是離開太久後自動登出，很可能就會輸入自己的帳號與密碼以便重新登入。不過該項展示僅適用於Firefox瀏覽器。

過去駭客要執行網釣攻擊必須藉由電子郵件或各種社交網站的惡意連結將用戶導向偽造的網頁以騙取使用者的帳號資訊，外界認為Raskin的手法簡化了網釣攻擊方式，直接更改使用者所連結網站的介面與標籤。

目前尚未有資安業者針對此一新手法發表評論，Raskin則說，Mozilla已嘗試透過Firefox的帳號管理工具來解決該問題，因為光靠使用者的帳號及密碼並不足以保障認證安全，而使得瀏覽器必須扮演更積極的角色。（編譯/陳曉莉）