近期，安全領(lǐng)域的知名公司SquareX揭示了一種名為“Browser in the Middle”的新型網(wǎng)絡(luò)釣魚(yú)攻擊手段，該手段允許黑客在不被察覺(jué)的情況下，竊取用戶的敏感信息，如賬號(hào)和密碼。

黑客在設(shè)計(jì)的釣魚(yú)彈窗中，巧妙地加入了一個(gè)偽裝成“登錄”的按鈕。一旦用戶點(diǎn)擊，頁(yè)面就會(huì)立即切換到全屏模式，進(jìn)一步降低了用戶關(guān)閉全屏并核對(duì)URL的可能性。這一設(shè)計(jì)使得攻擊更加隱蔽和有效。

研究人員指出，在這三種瀏覽器中，蘋(píng)果Safari的風(fēng)險(xiǎn)尤為突出。當(dāng)Safari切換到全屏模式時(shí)，不會(huì)向用戶顯示任何提示信息。而基于Chromium內(nèi)核的瀏覽器，如谷歌Chrome和微軟Edge，雖然會(huì)在切換全屏?xí)r彈出短暫的提示，但這一提示往往只顯示幾秒鐘，很容易被用戶忽略。

為了演示這種攻擊手段，研究人員展示了黑客設(shè)計(jì)的山寨Steam登錄頁(yè)面。該頁(yè)面幾乎與真實(shí)的Steam登錄頁(yè)面一模一樣，足以欺騙大多數(shù)用戶。當(dāng)用戶在不知情的情況下輸入賬號(hào)和密碼時(shí)，這些信息就會(huì)被黑客竊取。