概述

目前，涉及到加密貨幣的許多網(wǎng)站，特別是需要用戶輸入機(jī)密信息的平臺(tái)，都會(huì)建議用戶檢查URL地址欄，從而查看是否包含正確的SSL證書(有些平臺(tái)中，會(huì)特定為EV證書)和正確的URL。因此，許多用戶對(duì)這一點(diǎn)記憶深刻，并將其作為第一項(xiàng)檢查的內(nèi)容。但近期，我們發(fā)現(xiàn)了一種新型釣魚方式，如果用戶訪問攻擊者特制的頁面，可能會(huì)產(chǎn)生一種虛假的“安全感”。

[[255669]]

我們首先要強(qiáng)調(diào)，本文所描述的釣魚方式，與涉及到的任何產(chǎn)品(包括MyCrypto、Binance、Google Chrome、Firefox、Brave)中的漏洞無關(guān)。相反，攻擊者創(chuàng)建了一個(gè)虛假的網(wǎng)站，并使用戶相信他們?cè)L問的是合法的網(wǎng)站。

作為用戶，應(yīng)該始終保持警惕，特別是在處理加密貨幣的過程。并且，用戶應(yīng)該選擇其他具有安全性的機(jī)制，包括雙因素認(rèn)證、脫機(jī)運(yùn)行、硬件錢包等。但不幸的是，包括MyCrypto和Binance在內(nèi)的一些網(wǎng)站，目前都還沒有相應(yīng)的機(jī)制來緩解這類攻擊。

演示視頻(YouTube)：https://youtu.be/ebWftq6kA30

針對(duì)PoC的分析

通過使用瀏覽器的全屏API、一些用于檢測(cè)瀏覽器的JavaScript以及一些圖像，我們可以幾乎以假亂真的欺騙用戶，讓用戶相信自己正在訪問正確的域名。上述視頻就是我們制作的PoC。

盡管乍一看，用戶似乎離開了127.0.0.1:5500的這臺(tái)服務(wù)器，但實(shí)際上并沒有。為深入了解這種新型釣魚方法，我們將分解各個(gè)頁面，進(jìn)行詳細(xì)分析。

第一個(gè)視圖僅用于演示目的，這是一個(gè)帶有MyCrypto合法鏈接的簡(jiǎn)單視圖。然而，可以想象一下，攻擊者將其作為野外的某個(gè)惡意加密貨幣新聞網(wǎng)站，或者是某個(gè)說明如何使用MyCrypto的博客文章，或者是惡意AirDrop的網(wǎng)站鏈接。不管怎樣，其最終目的都是試圖誘導(dǎo)用戶點(diǎn)擊有效的MyCrypto.com鏈接。

在用戶單擊鏈接后，瀏覽器將被強(qiáng)制進(jìn)入全屏模式，并顯示一些圖像，這些圖像看起來就像是用戶瀏覽器的框架。我們使用了一些簡(jiǎn)單的JavaScript來檢測(cè)用戶正在運(yùn)行的瀏覽器，并針對(duì)不同瀏覽器顯示出不同的瀏覽器框架圖像。

接下來，我們假設(shè)MyCrypto不會(huì)棄用網(wǎng)絡(luò)上的私鑰，或者用戶使用的是要求提供私鑰的產(chǎn)品。在這里，攻擊者會(huì)要求用戶輸入密鑰，并在用戶鍵入時(shí)對(duì)其進(jìn)行記錄(如下所示)。

這部分，并不會(huì)像PoC那樣冗長，但足以能夠表明用戶從來沒有離開過127.0.0.1:5500這臺(tái)服務(wù)器，但用戶操作瀏覽器時(shí)看起來就像是在MyCrypto.com網(wǎng)站上一樣。

除非用戶具有額外的身份驗(yàn)證機(jī)制，或者用戶具有足夠的警惕性，否則直至此時(shí)，用戶的私鑰已經(jīng)被攻擊者竊取，并且資金也很可能已經(jīng)被盜。

現(xiàn)在，讓我們看看另外一個(gè)例子，這是同樣非常流行的Binance交易所。這個(gè)平臺(tái)的安全性相對(duì)較好，因?yàn)槠脚_(tái)會(huì)建議用戶應(yīng)該檢查登錄頁面上的地址欄，這通常是一個(gè)很好的安全建議。

演示視頻(YouTube)：https://youtu.be/hOgPAhEXNSw

從上面的演示視頻中，可以看出，除非用戶全神貫注于屏幕，否則很容易成為這個(gè)新型釣魚方法的受害者。

針對(duì)其他瀏覽器的測(cè)試

我之前提到過，我們可以使用JavaScript來檢測(cè)用戶所使用的瀏覽器，并針對(duì)不同的瀏覽器顯示出相對(duì)應(yīng)的圖像。

在Firefox中，瀏覽器切換到全屏模式后的提示會(huì)稍微明顯一些。但是，精心構(gòu)造的PoC并不會(huì)觸發(fā)alert()以顯示帶有實(shí)際地址欄的提示。在這里，使用alert()產(chǎn)生提示并沒有實(shí)際上的意義。

演示視頻(YouTube)：https://youtu.be/phmS05-hF1Y

如果使用Brave，實(shí)際上與Chrome的體驗(yàn)相同，原因在于Brave基于與Chrome相同的Chromium網(wǎng)絡(luò)瀏覽器。

演示視頻(YouTube)：https://youtu.be/qYnY2DOd5fo

安全建議

• 保持警惕，用戶需要仔細(xì)檢查自己的瀏覽器是否已經(jīng)進(jìn)入到全屏模式。
• 絕對(duì)不要將憑據(jù)或私鑰輸入通過點(diǎn)擊鏈接到達(dá)的網(wǎng)站中。在任何時(shí)候，建議都自行訪問網(wǎng)站，或者通過自己創(chuàng)建的書簽點(diǎn)擊。
• 安裝EtherAddressLookup瀏覽器擴(kuò)展，從而防止訪問已知的惡意域名。
• 密切關(guān)注EtherScamDb目錄。
• 在社區(qū)中，學(xué)習(xí)并分享關(guān)于新型網(wǎng)絡(luò)釣魚策略的知識(shí)。
• 如果你認(rèn)為某些關(guān)鍵內(nèi)容突然從頁面中消失，或者當(dāng)前正在訪問的頁面有任何異常，請(qǐng)相信你的直覺，并找到可靠的依據(jù)。
• 盡可能使用硬件錢包和雙因素認(rèn)證(2FA)，用戶可以選購Ledger錢包或Trezor。
• 在使用加密貨幣相關(guān)平臺(tái)時(shí)，盡量使用桌面應(yīng)用程序，或離線運(yùn)行(例如MyCrypto Desktop APP)。

目前，我們還沒有證據(jù)表明該惡意活動(dòng)是針對(duì)網(wǎng)絡(luò)加密貨幣用戶執(zhí)行的。

本文翻譯自：

https://medium.com/mycrypto/unique-phishing-method-to-look-out-for-the-fullscreen-api-e6cd08a6293a