黑客运用伪造的弹出登录窗口窃取Steam帐户

根据Bleeping Computer报道，一些不良分子正在使用新型的网页浏览工具进行网络欺诈行为——Browser In The Bopwser(BITB)，在游戏平台Steam窃取用户账户。

钓鱼的第一步，是在Steam上向受害目标发送加入英雄联盟、CS、Dota 2 或 PUBG 锦标赛团队的邀请，受害者若点击邀请中的链接，就会被带往一个赞助和举办电子竞技比赛组织的网站，该网站实质上是一个钓鱼站点，受害者会被要求使用Steam账号登录加入团队，但登录页面窗口并不是覆盖在现有网站上的实际浏览器窗口，而是在当前页面中创建的虚假窗口，因此很难将其识别为网络钓鱼攻击。

如何发现BITB攻击？

在所有BITB网络钓鱼案例中，网络钓鱼窗口中的 URL 都是合法的，其本质是一个渲染窗口，而非浏览器窗口。该窗口甚至允许用户拖动、将其最小化、最大化或者关闭，因此很难将其正确地识别为这实际上是创建了一个在现有浏览器中从未生成的任何其他虚假浏览器窗口。

由于该技术需要 JavaScript，因此阻止 JS 脚本是有效的预防措施之一，但这一操作有时会妨碍许多正常网站的一些功能。最主要的是应当警惕在Steam等平台上收到的陌生消息，避免点击未知的链接。不要轻易下载不安全的软件。一些不法分子利用这一漏洞，通过发送木马病毒的方式盗取用户电脑中的重要数据，造成财产损失。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!