釣魚新姿勢：全屏API偽裝瀏覽器界面方式分析

概述

目前，涉及到加密貨幣的許多網站，特別是需要用戶輸入機密信息的平台，都會建議用戶檢查URL地址欄，從而查看是否包含正確的SSL證書（有些平台中，會特定為EV證書）和正確的URL。因此，許多用戶對這一點記憶深刻，並將其作為第一項檢查的內容。但近期，我們發現了一種新型釣魚方式，如果用戶訪問攻擊者特製的頁面，可能會產生一種虛假的「安全感」。

我們首先要強調，本文所描述的釣魚方式，與涉及到的任何產品（包括MyCrypto、Binance、Google Chrome、Firefox、Brave）中的漏洞無關。相反，攻擊者創建了一個虛假的網站，並使用戶相信他們訪問的是合法的網站。

作為用戶，應該始終保持警惕，特別是在處理加密貨幣的過程。並且，用戶應該選擇其他具有安全性的機制，包括雙因素認證、離線運行、硬體錢包等。但不幸的是，包括MyCrypto和Binance在內的一些網站，目前都還沒有相應的機制來緩解這類攻擊。

演示視頻（YouTube）：https://youtu.be/ebWftq6kA30

針對PoC的分析

通過使用瀏覽器的全屏API、一些用於檢測瀏覽器的JavaScript以及一些圖像，我們可以幾乎以假亂真的欺騙用戶，讓用戶相信自己正在訪問正確的域名。上述視頻就是我們製作的PoC。

儘管乍一看，用戶似乎離開了127.0.0.1:5500的這台伺服器，但實際上並沒有。為深入了解這種新型釣魚方法，我們將分解各個頁面，進行詳細分析。

第一個視圖僅用於演示目的，這是一個帶有MyCrypto合法鏈接的簡單視圖。然而，可以想像一下，攻擊者將其作為野外的某個惡意加密貨幣新聞網站，或者是某個說明如何使用MyCrypto的博客文章，或者是惡意AirDrop的網站鏈接。不管怎樣，其最終目的都是試圖誘導用戶點擊有效的MyCrypto.com鏈接。

在用戶單擊鏈接後，瀏覽器將被強制進入全屏模式，並顯示一些圖像，這些圖像看起來就像是用戶瀏覽器的框架。我們使用了一些簡單的JavaScript來檢測用戶正在運行的瀏覽器，並針對不同瀏覽器顯示出不同的瀏覽器框架圖像。

接下來，我們假設MyCrypto不會棄用網路上的私鑰，或者用戶使用的是要求提供私鑰的產品。在這裡，攻擊者會要求用戶輸入密鑰，並在用戶鍵入時對其進行記錄（如下所示）。

這部分，並不會像PoC那樣冗長，但足以能夠表明用戶從來沒有離開過127.0.0.1:5500這台伺服器，但用戶操作瀏覽器時看起來就像是在MyCrypto.com網站上一樣。

除非用戶具有額外的身份驗證機制，或者用戶具有足夠的警惕性，否則直至此時，用戶的私鑰已經被攻擊者竊取，並且資金也很可能已經被盜。

現在，讓我們看看另外一個例子，這是同樣非常流行的Binance交易所。這個平台的安全性相對較好，因為平台會建議用戶應該檢查登錄頁面上的地址欄，這通常是一個很好的安全建議。

演示視頻（YouTube）：https://youtu.be/hOgPAhEXNSw

從上面的演示視頻中，可以看出，除非用戶全神貫注於屏幕，否則很容易成為這個新型釣魚方法的受害者。

針對其他瀏覽器的測試

我之前提到過，我們可以使用JavaScript來檢測用戶所使用的瀏覽器，並針對不同的瀏覽器顯示出相對應的圖像。

在Firefox中，瀏覽器切換到全屏模式後的提示會稍微明顯一些。但是，精心構造的PoC並不會觸發alert()以顯示帶有實際地址欄的提示。在這裡，使用alert()產生提示並沒有實際上的意義。

演示視頻（YouTube）：https://youtu.be/phmS05-hF1Y

如果使用Brave，實際上與Chrome的體驗相同，原因在於Brave基於與Chrome相同的Chromium網路瀏覽器。

演示視頻（YouTube）：https://youtu.be/qYnY2DOd5fo

安全建議

1、保持警惕，用戶需要仔細檢查自己的瀏覽器是否已經進入到全屏模式。

3、安裝EtherAddressLookup瀏覽器擴展，從而防止訪問已知的惡意域名。

4、密切關注EtherScamDb目錄。

5、在社區中，學習並分享關於新型網路釣魚策略的知識。

6、如果你認為某些關鍵內容突然從頁面中消失，或者當前正在訪問的頁面有任何異常，請相信你的直覺，並找到可靠的依據。

7、儘可能使用硬體錢包和雙因素認證（2FA），用戶可以選購Ledger錢包或Trezor。

8、在使用加密貨幣相關平台時，盡量使用桌面應用程序，或離線運行（例如MyCrypto Desktop APP）。

目前，我們還沒有證據表明該惡意活動是針對網路加密貨幣用戶執行的。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！