網絡釣魚攻擊升級　瀏覽器全屏漏洞盜賬密　專家揭秘要防範可這樣

近日，網絡安全公司SquareX發布報告，揭示了一種名為「Browser in the Middle」的新型網絡釣魚攻擊方式。該手法可讓攻擊者在用戶毫無察覺的情況下竊取賬號密碼等重要訊息。

這種攻擊屬於「中間人攻擊」的一種變種。其核心方式是通過偽造登錄彈窗頁面，誘導用戶輸入賬號和密碼，從而實現訊息盜取。

新型網絡釣魚攻擊利用全屏API竊取用戶訊息（sqrx.）

當前主流瀏覽器，包括Chrome、Edge和Safari，均存在設計上的漏洞，可能被攻擊者利用Fullscreen API將釣魚頁面設置為全屏顯示，藉此隱藏真實的網址，提高欺騙的成功率。

安全研究人員指出，Fullscreen API目前並未對第三方網站觸發全屏的行為作出明確限制，這使得駭客可以在釣魚窗口中嵌入一個偽裝的「登錄」按鈕。當用戶點擊後，系統便會自動進入全屏模式，從而讓用戶更難察覺異常，並減少了用戶退出全屏去核對網址的可能性。

研究人員特別指出，蘋果的Safari瀏覽器在這方面的風險最高，因為其在切換至全屏時不會給出任何提示。而對於基於Chromium內核的瀏覽器，例如Chrome和Edge，雖然在進入全屏時會有短暫提示，但由於顯示時間極短，多數用戶難以注意到這一細節。

延伸閲讀：蘋果2027年推iPhone 20周年紀念版　折疊屏加玻璃機身工藝大升級（點擊連結看全文）

【本文獲「中關村在線」授權轉載。】