新釣魚攻擊利用瀏覽器自動填表偷走你的隱私,如何關閉他教學


昨天開始國外許多報導提到一個「可能已經存在多年」的瀏覽器漏洞(或者說設計缺陷)被發現,釣魚網站有可能利用這個設計缺陷,在用戶不知情的情況下,拿到使用者的住址、電話、信箱,甚至信用卡資料。

根據芬蘭開發者 Viljami Kuosmanen 提到,這個缺陷出現在 Chrome、 Safari、 Opera 等具備自動填表功能的瀏覽器中,以及像是 Lastpass 等具備網頁自動填表功能的瀏覽器套件中,你在使用這些自動填表功能時,可能不小心把原本沒有想要輸入的信用卡或電話資料洩漏出去。

原理如下,其實很簡單。




  • 釣魚網站如何用「隱藏的」欄位偷走你的資料?

釣魚網站可以設計一個簡單的填表機制,例如一個網頁心理測驗小遊戲「看起來」只要你填寫姓名與郵件,但是其實釣魚網站把「其他隱私表格」,像是信用卡、地址與電話欄位「隱藏起來」,讓你看不到。


這時候當你要填寫郵件時,瀏覽器自動填表功能會出現提示詢問你:「要不要幫你自動填完?」

如果你選擇要,那瀏覽器其實會把這個網頁可以填寫的表格一次幫你填完,你看起來好像只填了郵件,但其他隱藏的地址電話欄位也已經被自動輸入(只是你看不到),然後你的隱私資料就被你自己親手送出了。

如果使用 Lastpass這類密碼管理工具,也有自動填表功能,也有同樣問題。上圖就是我真實使用情況,我來到這個假網站,看到兩個填寫欄位,但是 Lastpass 卻提示我有三個表格可以填寫,這正是有其他欄位被隱藏了,如果我選擇一次自動填入,那不想洩漏的隱私也就被我自己洩漏出去。

芬蘭開發者 Viljami Kuosmanen 還設計了一個「 Demo 網站」讓你「試試看」這個漏洞,想研究的朋友可以前往試試看。(下圖中因為我一直習慣關閉自動填表功能,所以其他隱藏欄位沒有被填入資料)





  • 有沒有辦法防止這樣的隱私洩漏呢?

三個步驟可以防止這樣的釣魚網站與隱私洩露。

第一,不要在不知名網站填寫表格,尤其不要在填寫表格時使用自動輸入。像是那些網頁小測驗都可能有風險。

第二,如果你擔心自己不小心,那就「先關閉」瀏覽器的自動填表功能,電腦端、手機端都要關閉。

以 Google Chrome 瀏覽器為例,打開「設定」,捲動到下方繼續打開「進階設定」,然後取消勾選「密碼和表單」下面的自動填入選項。



我們現在更常在手機網頁上填寫資料,所以更重要的是到手機的 Chrome 瀏覽器「設定」中,同樣將「自動填入表單」功能關閉。



第三,如果像我一樣使用 Lastpass 這類密碼管理工具,一樣可以關閉自動填表功能,反正真正遇到信任網站時,一樣可以手動開啟快速填表。

現在使用數位裝置最大的威脅,可能已經從早期的病毒,轉變成會偷走你的帳密與隱私的網路釣魚,推薦大家也可以同時閱讀下面的網路安全相關文章:

轉貼本文時禁止修改,禁止商業使用,並且必須註明來自電腦玩物原創作者 esor huang(異塵行者),及附上原文連結:新釣魚攻擊利用瀏覽器自動填表偷走你的隱私,如何關閉他教學



留言

  1. 在chrome 裡面,允許或封鎖特定網站的內容設定,也可以管理java script

    回覆刪除
  2. 根據國外報導的測試(因為我實際上都會關閉自動填表,所以沒辦法立刻做相同測試), Firefox 因為自動填表時不會一次把網頁內所有表格填完,所以沒有這個漏洞

    回覆刪除

張貼留言

為了避免垃圾廣告留言過多,開始測試「留言管理」機制,讓我可以更容易回應讀者留言,並更簡單過濾掉廣告,但只要不是廣告留言都會通過審核。

這個網誌中的熱門文章

全家沖印、 7-11 列印照片誰好用?立可得與 ibon教學+比較表

微軟 Bing AI 繪圖工具 Image Creator 免費開放,30秒輕鬆生成圖片

Arc 瀏覽器 windows 版測試心得,用四大介面改造升級專注工作流

Google Maps 我的地圖完全教學!規劃自助旅行攻略

個人知識管理的時間平衡心法,忙碌中我如何維持高效率輸入輸出

5 條「這時候,不要做」清單打破無意識行動模式的低效率循環

如何用 ChatGPT 加速生成一份有圖有文的簡報,實戰案例教學

Google 表單的 10 個專業問卷調查設計秘密教學

ChatGPT DALL-E 3 的7個特殊 AI 繪圖應用教學,勝過 Midjourney