视频: 🏃💨 Subway Surfers - Official Launch Trailer (十一月 2024)
我们在SecurityWatch上谈论了很多有关外来恶意软件攻击和模糊的安全漏洞的信息,但是攻击可以利用窗口在屏幕上的显示方式等基本信息。 一位研究人员演示了一种技术,使受害人只需按字母“ r”就可以欺骗其运行恶意软件。
上个月末,研究员Rosario Valotta在他的网站上写了一篇文章,概述了围绕“滥用浏览器用户界面”的攻击。 该技术利用了Web浏览器中的一些古怪之处,并引入了一些社会工程学知识。
攻击
它被称为“劫持”,是指利用劫持技术诱骗受害者单击会产生意外响应的对象的行为。 在Valotta的示例中,您访问了一个恶意网站,然后开始自动下载。 在Windows 7的Internet Explorer 9或10中,这会触发一个非常熟悉的对话框窗口,并带有“运行”,“保存”或“取消”选项。
诀窍出在这里:攻击者将网站设置为在页面后面隐藏确认窗口,但使确认窗口保持焦点。 该网站提示用户按下字母“ R”,也许使用验证码。 网站上闪烁的光标gif使用户 认为 他或她的按键将出现在伪造的验证码对话框中,但实际上已发送到确认窗口,其中R是运行的快捷方式。
该攻击还可以在Windows 8中使用,对社交工程进行了修改,以诱使受害者击中TAB + R。 为此,Valotta建议使用打字测试游戏。
对于我们这里所有的Chrome用户,Valotta都想出了另一种传统的点击劫持技巧。 在这种情况下,受害者只是单击某些东西,以使它在最后一秒消失,而单击在下面的窗口中注册。
他写道:“您可以在某些特定的屏幕坐标处打开一个弹出窗口,然后将其放在前台窗口下,然后开始下载可执行文件。” 前景中的窗口会提示用户单击-可能会关闭广告。
Valotta继续说:“攻击者可以使用某些JS跟踪鼠标指针的坐标,因此,一旦鼠标悬停在按钮上,攻击者便可以关闭前景窗口。” “如果时机合适,受害者很有可能会单击底层的弹出式通知栏,因此实际上是自动启动了可执行文件。”
这种攻击最可怕的部分是社会工程。 Valotta在他的博客文章中指出,M.Zalewski和C.Jackson已经研究了一个人因点击劫持而堕下的可能性。 根据Valotta的说法,成功超过90%的时间都是成功的。
不要太恐慌
瓦洛塔承认,他的计划有一些障碍。 首先,Microsoft的Smartscreen筛选器可以在报告此类攻击后清除它们。 如果隐藏的可执行文件需要管理员特权,则用户访问控制将生成另一个警告。 当然,Smartscreen不是万无一失的,Valotta通过询问“您是否真的需要管理特权才能对受害者造成严重损害?”来解决UAC问题。
与往常一样,避免攻击的最简单方法是不访问网站。 避免提供人们奇怪的下载内容和不合常规的链接。 另外,请注意在屏幕上突出显示了哪些窗口,并在键入之前单击文本字段。 您还可以使用浏览器的内置弹出/弹出窗口阻止支持。
如果没什么,此研究提醒人们,并非所有漏洞都是草率代码或外来恶意软件。 有些可以隐藏在我们意想不到的地方,例如VoIP电话,也可以利用计算机被设计为对面前的人类有意义的事实。
