黑客可通过钓鱼攻击窃取浏览器自动填充的私人信息

安全人员发现,不法网络钓鱼者,通过在网上安装隐藏的文本框,即可盗取浏览器自动填充密码管理器当中的私人信息。芬兰的Web开发人员和黑客Viljami Kuosmanen发现,谷歌Chrome,苹果Safari和Opera等浏览器,以及一些插件和工具:如LastPass,可被欺骗,通过它们基于配置文件的自动填充系统,将用户个人信息泄露给黑客。

这种网络钓鱼攻击极其简单。Kuosmanen发现,当用户试图填充网页上一些纯文本框,如姓名、电子邮件地址等等,自动填充系统会发挥作用,其目的是避免标准信息等乏味重复填写,它将基于用户档案的信息自动填充到任何其它文本框当中。

这意味着,当用户访问一个貌似无辜的网站,如果用户确认进行自动填充,上述浏览器的自动填充系统将放弃更多的敏感信息,如电子邮件地址,电话号码,邮寄地址,组织信息,信用卡信息以及其他各种零零碎碎的存储数据。

Mozilla的Firefox火狐浏览器没有此类问题,因为它还不具备多箱自动填充系统,并且不能被欺骗,通过程序化的手段弥补文本框。该钓鱼攻击仍然依赖于诱使用户访问恶意钓鱼网站填写个人信息。用户可以通过禁用浏览器的自动填充系统保护自己免受这种威胁的侵害。
本文转自d1net(转载)

时间: 2024-10-01 04:51:45

黑客可通过钓鱼攻击窃取浏览器自动填充的私人信息的相关文章

浏览器自动填充存漏洞,可能泄露你的个人隐私

当你在注册新账号,或者填写收货地址时,大堆信息是否让你头疼?所幸的是,大多数浏览器都自带了的自动填充表单的功能,一秒钟就能帮你填好所有的所有输入框. 可是,最近一个芬兰的网页开发者和黑客 Viljami Kuosmanen 发现了一个自动填写表单功能重大的潜在安全漏洞,他表示诸如 Chrome.Safari 和 Opera 等浏览器,或是 LastPass 这样带自动填充功能的浏览器插件,都可能会泄露用户的隐私. 自动填表如何泄露你的隐私 一般来说,在使用自动填充功能之前,用户需要提前把需要自动

Google Talk被黑客利用 发动钓鱼攻击

近期开始有黑客利用Google Talk欺骗用户,发起钓鱼攻击. 黑客会冒充用户好友发送虚假留言,一旦用户上当就可能会被黑客骗取到其Google Talk的账号和密码. 如果您是Google Talk用户,并且收到好友发来信息说:"Hi,see this video!http://tinyurl.com/xyz".在点击前先和您的好友多次确认下,小心别掉入黑客的圈套里. 如果有用户不小心点击了这类虚假链接,会被重新定向到Viddyho.com.看到一个简洁的登陆页面,上面要求用户输入G

流行浏览器自动填充功能现漏洞,隐私全泄露

每当注册一个新网站,又或者填写收货地址的时候,看着一大堆的文本输入框就觉得头痛.此时,相信大部分人都会用到浏览器自带的自动填充功能,一键填充如姓名.电话.地址等资料,能够省下不少时间. 不过,就在最近,一个芬兰的网页开发者和黑客 Viljami Kuosmanen 发现了一个重大的潜在安全漏洞,指出像 Chrome.Safari 和 Opera 这样带自动填充功能的浏览器,以及提供同样功能的插件和工具(如 LastPass)会泄露用户的隐私. 黑客通过简单的手段,就能够选择性隐藏页面上的文本输入

同形异义:最狡猾的钓鱼攻击

本文讲的是 同形异义:最狡猾的钓鱼攻击,网络钓鱼能让坚定的技术拥趸抓狂.一次错误点击,可能就是几千万的金钱损失,或者造成公司数据泄露.而且,网络钓鱼进化频繁. 最近出现的一个例子就是,狡猾的新漏洞利用程序,可以让恶意网络钓鱼网站具备与已知可信网站一模一样的URL. 现在大家都知道要检查浏览器地址栏的绿色小锁头,看看是否启用了TLS加密.看到这个小锁头,你就知道没人能窃听你提交的任何数据了--这对金融和医疗网站而言是一个特别重要的考量.但是,能够冒充合法URL并绘制小锁头的恶意网站,就几乎不会给出

利用Chrome浏览器“自动下载”功能窃取Windows登录密码

本文讲的是利用Chrome浏览器"自动下载"功能窃取Windows登录密码,在过去的十几年中,除了IE以及Edge浏览器之外,其余还没有公开针对SMB认证攻击的方法.这篇文章介绍的攻击方法是通过全世界最受欢迎的浏览器Google Chrome中的默认配置进行Windows登录密码盗取.影响范围为Windows所有版本的Google Chrome. 漏洞利用 在默认设置环境中,Chrome会自动下载认为安全的文件,不再询问用户其存放位置.从安全的角度来看,这一功能来看好像不是那么安全,但

黑客侵入电子签名供应商DocuSign的数据库 随后向用户发起钓鱼攻击

当我们都忙于应对WannaCry勒索软件时,有两起数据泄露事件被上报.一起发生在DocuSign,电子签名技术的主要供应商之一:另一起发生在BELL,加拿大最大的电信公司. 在周二发布在其网站的一篇通告中,DocuSign在调查越来越多的冒充DocuSign的钓鱼邮件时,证实其电子邮件系统中发生了数据泄露.DocuSign在公告中说: "我们使用一个独立的.非核心的系统,通过电子邮件向用户发送业务相关的公告.一家恶意的第三方组织获取了这个系统的临时访问权限." 黑客先攻下电子邮件系统

了解你的敌人 网络钓鱼攻击的实现过程(1)

网络钓鱼是通过 大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息(如用户名.口令.帐号 ID . ATM PIN 码或信用卡详细信息)的一种攻击方式.最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上,并 获取收信人在此网站上输入的个人敏感信息,通常这个攻击过程不会让受害者警觉.这些个人信息对黑客们具有非常大的吸引力,因为这些信息使得他们可以假冒受害者进行欺诈性金融交易,从而获得经济利益.受害者经常遭受显著的经济损失或全部个人信

网络钓鱼大讲堂 Part1 | 网络钓鱼攻击定义及历史

何为网络钓鱼攻击? 首先,我们看一下网络钓鱼攻击的定义:网络钓鱼攻击(phishing与fishing发音相近)是最初通过发送消息或邮件,意图引诱计算机用户提供个人敏感信息如密码.生日.信用卡卡号以及社保账号的一种攻击方式.为实施此类网络诈骗,攻击者将自己伪装成某个网站的官方代表或与用户可能有业务往来的机构(如PayPal.亚马逊.联合包裹服务公司(UPS)和美国银行等)的代表. 攻击者发送的通信内容的标题可能包含"iPad赠品"."欺诈告警"或其他诱惑性内容.邮件

钓鱼攻击之猖獗程度已达历史新高的十项理由

冒充尼日利亚王子之类的伎俩早已过时--如今钓鱼欺诈活动已经成为极为复杂的业务体系,即使是最具经验的安全专家都有可能被其骗倒. 几十年来,网络钓鱼邮件已经成为计算机领域中的一大安全祸根,当然我们也使出了浑身解数.努力将其扼杀在摇篮当中.时至今日,大多数普通用户已经能够通过标题行意识到其邪恶本质,并在发现之后直接将其删除.而如果大家无法完全确定其性质并将其打开,那么其中过于正式的问候方式.诡异的国外发送地址.拼写错误.荒谬到无法形容的奖励内容描述乃至过于殷勤的产品推销言辞都能够让我们立刻发现其背后潜