警方表示,近日在假冒技術(shù)支援人員騙案中發(fā)現(xiàn)BITB手法��,騙徒透過BITB顯示以假亂真的登錄界面����,利用程式碼使網(wǎng)頁「憑空畫出」以假亂真登錄介面���,誘騙受害人輸入個(gè)人資料�����,繼而被盜銀行賬戶�,導(dǎo)致金錢損失。
BITB (Browser-in-the-Browser)
攻擊模式包括偽造登錄界面��,黑客模擬瀏覽器視窗的細(xì)節(jié)����,包括網(wǎng)址欄內(nèi)顯示看似真實(shí)的網(wǎng)址、HTTPS鎖頭�、甚至視窗陰影。網(wǎng)頁界面看似真實(shí)����,但其實(shí)黑客只將真正的網(wǎng)頁界面複製,或花心思偽造網(wǎng)頁界面誘騙�,甚至通過全屏模式以隱藏假網(wǎng)址,企圖以假亂真���。
其後�,假視窗中的帳號(hào)和密碼輸入欄位直接連結(jié)黑客伺服器����,當(dāng)按下「登入」時(shí)�,資訊瞬間傳送至黑客手中����,同時(shí)黑客會(huì)轉(zhuǎn)到真實(shí)網(wǎng)站,令受害人「中招」亦不知情�。假系統(tǒng)更可能多次顯示「密碼錯(cuò)誤」誘騙重複輸入,藉此收集更多密碼組合����。被竊取個(gè)人資料或帳號(hào)密碼落後,可能導(dǎo)致賬戶盜用����、金錢損失甚至身份盜竊。
警方提醒防禦BITB的方法�����,嘗試將視窗拖出瀏覽器邊界外����,真實(shí)瀏覽器視窗可自由移動(dòng)且獨(dú)立於主頁面。假視窗會(huì)卡在瀏覽器內(nèi)����,或會(huì)隨著瀏覽器縮放��。
另外可啟用雙重驗(yàn)證(2FA),即使密碼外流�����,黑客都要第二道驗(yàn)證���,如手機(jī)驗(yàn)證碼才可登入��。網(wǎng)民要避免點(diǎn)擊不明連結(jié)�,尤其是「限時(shí)優(yōu)惠」���、「賬戶異?��!沟扔嵪ⅲ苊恻c(diǎn)擊以防釣魚陷阱�,應(yīng)手動(dòng)輸入官方網(wǎng)址。最後要定期更新軟件��,確保瀏覽器和防毒程式是最新版本����,阻擋惡意程式入侵����。
市民如有懷疑�����,除向官方機(jī)構(gòu)查詢外����,亦可使用「防騙視伏器」或手機(jī)版「防騙視伏App」,輸入可疑網(wǎng)址驗(yàn)證�����。(記者區(qū)天海)
