【Flask 教程】14 - 利用 flask mail 发送重置密码的邮件
据安全厂商Trusteer的研究人员称,在所有主流浏览器中发现的一个漏洞可能使犯罪分子更容易使用称为“会话内钓鱼”的新型攻击来窃取网上银行凭据。
会话中的钓鱼(pdf)为坏人提供了解决钓鱼者最近面临的最大问题的解决方案:如何接触新的受害者。在传统的网络钓鱼攻击中,这些骗子发出数以百万计的假电子邮件消息,伪装成他们来自合法公司,如银行或在线支付公司。
这些邮件通常被垃圾邮件过滤软件阻止,但通过会话中的钓鱼攻击,电子邮件消失后会被弹出式浏览器窗口取代。
[更多阅读:如何从Windows PC删除恶意软件]以下是攻击会起作用:坏人会攻击一个合法的网站并植入看起来像弹出式安全警报窗口的HTML代码。然后,弹出窗口会要求受害者输入密码和登录信息,并可能回答银行用来验证其客户身份的其他安全问题。对于攻击者来说,最难的部分是让受害者相信这种流行通知是合法的。但是,由于所有最广泛使用的浏览器的JavaScript引擎中发现了一个错误,因此有一种方法可以使这种类型的攻击看起来更可信,Trusteer的首席技术官Amit Klein表示。
通过研究浏览器的方式使用JavaScript,克莱因说,他已经找到了一种方法来确定某人是否登录到网站,只要他们使用某种JavaScript功能。 Klein不会说这个功能,因为它会给罪犯一种启动攻击的方式,但他已经通知浏览器制造商,并且预计这个bug最终会被修补。在此之前,发现这个缺陷的犯罪分子可能会写代码来检查例如,网上冲浪者是否登录到,例如,100个银行网站的预定列表。他说:“与其弹出这种随机的钓鱼信息不同的是,攻击者可以通过探测并找出用户目前是否登录到100家金融机构网站之一来获得更复杂的信息。”
目前在会话中为钓鱼邮件提供了很多可信度,“他补充说,”安全研究人员已经开发了其他方法来确定受害者是否登录到某个站点,但它们并不总是可靠的。克莱因表示,他的技术并不总是有效,但它可以在包括银行,在线零售商,游戏和社交网站在内的许多网站上使用。