浏览器页签挟持Tabnapping：利用假冒浏览器标签进行的新式钓鱼攻击

Sammi888

最近发现的一款新式钓鱼手法实在太新又太陌生，以致没有人知道该如何称呼它。我们就暂时叫它做「浏览器页签挟持（tabnapping）」，这手法利用Javascript来侦测已开启但目前未被浏览的页签。然后将该页面改造成和原始网页很类似的假页面。

受害者在开启多个浏览页签，分别浏览了几个网页后，假如又想再度浏览之前看过的页签，一不小心就点击了假网站，因为看到的是熟悉的偏爱图标（favicon），网页标题及内容，一般不疑有他而依照显示重新登录数据登入。在此当下，钓客就捕捉到受害者的真实登入数据。当资料到手后，受害者会被重新导回去原始网页里面，一切像是没发生一样。

  

举例来说，假设你是Gmail的使用者。你开了一个页签来进入Gmail，一个页签到新闻网页，以及一个页签到刚好是受感染的网站。你浏览新闻网站，没发现受感染的网站已变形为看来像是Gmail的登录网页。当你展开受感染网站的页签时，你以为自己只是为要求登入到Gmail中。你输入了登入数据，钓客取得了你的数据然后再将你重导回真的Gmail中，而你能登入的原因是你已经在第三个页签这边登入到真的Gmail中了。

  

听得雾煞煞，对吧？

  

重点在于：当你在多重页签间工作时，留意你进到哪里了。当你被要求输入进入账户时，即使是知名的电子邮件或其它服务网站，花一点时间回想你是否已经登入。点此（here）阅读此骇人的新钓鱼手法细节，并随时留意趋势科技如何击溃此伎俩。

  

＠原文来源：Tabnapping: New Phishing Attack Works Through Impostor Browser Tabs http://www.trendmicro.com/ftp/documentation/general/TRENDMICRO_JUL10/trendsetter_july10_tabnap.html

  

江湖的fans

感谢官方公报

生命中的绿叶

果然是新手法啊！长见识了，感谢官人提醒！

caven

感谢官人提醒！