《Disney +》 迪士尼、Marvel、彼思、星球大戰…  《超級炸彈人 R ONLINE》正式上線!與Fall Guys的合作突擊展開!   《God of War》(2018)即將登陸PC   《First Class Trouble》AI叛變的求生指南   Artisan Studios宣布將於今年推出RPG新作「Astria Ascending」   《KOF XV》全新角色・・・?「KROHNEN」公開!第2次公測確定開跑!   「MONSTER HUNTER RISE」體驗版ver.2發布中!還有機會得到金色怨龍虎等多項原創商品!   《Fall Guys》第4.5賽季致勝秘訣大公開   《Crash Bandicoot™ 4: It’s About Time》即將登上PS5 

新釣魚攻擊利用瀏覽器自動填表偷走你的隱私,如何關閉他教學

商業

昨天開始國外許多報導提到一個「可能已經存在多年」的瀏覽器漏洞(或者說設計缺陷)被發現,釣魚網站有可能利用這個設計缺陷,在用戶不知情的情況下,拿到使用者的住址、電話、信箱,甚至信用卡資料。

根據芬蘭開發者 Viljami Kuosmanen 提到,這個缺陷出現在 Chrome、 Safari、 Opera 等具備自動填表功能的瀏覽器中,以及像是 Lastpass 等具備網頁自動填表功能的瀏覽器套件中,你在使用這些自動填表功能時,可能不小心把原本沒有想要輸入的信用卡或電話資料洩漏出去。

原理如下,其實很簡單。




  • 釣魚網站如何用「隱藏的」欄位偷走你的資料?

釣魚網站可以設計一個簡單的填表機制,例如一個網頁心理測驗小遊戲「看起來」只要你填寫姓名與郵件,但是其實釣魚網站把「其他隱私表格」,像是信用卡、地址與電話欄位「隱藏起來」,讓你看不到。


這時候當你要填寫郵件時,瀏覽器自動填表功能會出現提示詢問你:「要不要幫你自動填完?」

如果你選擇要,那瀏覽器其實會把這個網頁可以填寫的表格一次幫你填完,你看起來好像只填了郵件,但其他隱藏的地址電話欄位也已經被自動輸入(只是你看不到),然後你的隱私資料就被你自己親手送出了。

如果使用 Lastpass這類密碼管理工具,也有自動填表功能,也有同樣問題。上圖就是我真實使用情況,我來到這個假網站,看到兩個填寫欄位,但是 Lastpass 卻提示我有三個表格可以填寫,這正是有其他欄位被隱藏了,如果我選擇一次自動填入,那不想洩漏的隱私也就被我自己洩漏出去。

芬蘭開發者 Viljami Kuosmanen 還設計了一個「 Demo 網站」讓你「試試看」這個漏洞,想研究的朋友可以前往試試看。(下圖中因為我一直習慣關閉自動填表功能,所以其他隱藏欄位沒有被填入資料)





  • 有沒有辦法防止這樣的隱私洩漏呢?

三個步驟可以防止這樣的釣魚網站與隱私洩露。

第一,不要在不知名網站填寫表格,尤其不要在填寫表格時使用自動輸入。像是那些網頁小測驗都可能有風險。

第二,如果你擔心自己不小心,那就「先關閉」瀏覽器的自動填表功能,電腦端、手機端都要關閉。

以 Google Chrome 瀏覽器為例,打開「設定」,捲動到下方繼續打開「進階設定」,然後取消勾選「密碼和表單」下面的自動填入選項。



我們現在更常在手機網頁上填寫資料,所以更重要的是到手機的 Chrome 瀏覽器「設定」中,同樣將「自動填入表單」功能關閉。



第三,如果像我一樣使用 Lastpass 這類密碼管理工具,一樣可以關閉自動填表功能,反正真正遇到信任網站時,一樣可以手動開啟快速填表。

現在使用數位裝置最大的威脅,可能已經從早期的病毒,轉變成會偷走你的帳密與隱私的網路釣魚,推薦大家也可以同時閱讀下面的網路安全相關文章:

轉貼本文時禁止修改,禁止商業使用,並且必須註明來自電腦玩物原創作者 esor huang(異塵行者),及附上原文連結:新釣魚攻擊利用瀏覽器自動填表偷走你的隱私,如何關閉他教學



喜歡這篇文章嗎?歡迎追蹤我的FacebookTwitterGoogle+,獲得更多有趣、實用的數位科技消息,更歡迎直接透過社群聯繫我。

Source:: playpcesor.com

隨機商業新聞

Micorsoft