一些独立的安全研究表明,一些3G和4G的USB调制解调器有安全漏洞,从而允许黑客访问网络,进而进行钓鱼诈骗。
来自瑞典的Andreas Lindh表明,调制解调器都是通过内置的Web服务器进行管理,它们很容易受到一种常见的黑客攻击—跨站点请求伪造(CRSF)。其产生的后果是,如果一个家庭用户访问了一个嵌入恶意代码的网站,黑客就可以访问并控制他们的调制解调器。
Lindh在他的博客上表示黑客对于控制一台调制解调器的并不感兴趣,他们的主要目标是两个关键功能。其中一个就可以使用调制解调器来发送SMS信息,这也就意味着黑客可以实现建立一个高消费频率的电话通信线路,从而在用户毫不知情的情况进行金钱的盗取。
Lindh进一步揭示了调制解调器的这项弱点可以直接被用于网络钓鱼攻击,使用数据URI方案,它允许在任何位置加载一个网页而无需进行任何实际托管,大部分浏览器都可以支持。他可以伪造一个Facebook登录页面,除了记录受害者实际的facebook记录外还窃取受害者的登录凭证。通过调制解调器的SMS短信功能,就可以将受害者的登录详细信息发送给黑客。
此外,黑客可以利用允许用户发帖评论的网站诸如论坛进行跨站欺骗。黑客在插入恶意内码的同时,充分利用原有网站的安全信用优势,诱骗用户点击他们的链接。Digg,Gmail和Wikipedia以及一些其他网站都可能被跨站请求伪造(CSRF)所利用。
去年的时候,俄罗斯研究人员发现,许多3G和4G的调制解调器经常会内置到笔记本电脑中,从而方便了黑客更改互联网连接默认的DNS服务器,从而将用户定向到恶意网站。
来自瑞典的Andreas Lindh表明,调制解调器都是通过内置的Web服务器进行管理,它们很容易受到一种常见的黑客攻击—跨站点请求伪造(CRSF)。其产生的后果是,如果一个家庭用户访问了一个嵌入恶意代码的网站,黑客就可以访问并控制他们的调制解调器。
Lindh在他的博客上表示黑客对于控制一台调制解调器的并不感兴趣,他们的主要目标是两个关键功能。其中一个就可以使用调制解调器来发送SMS信息,这也就意味着黑客可以实现建立一个高消费频率的电话通信线路,从而在用户毫不知情的情况进行金钱的盗取。
Lindh进一步揭示了调制解调器的这项弱点可以直接被用于网络钓鱼攻击,使用数据URI方案,它允许在任何位置加载一个网页而无需进行任何实际托管,大部分浏览器都可以支持。他可以伪造一个Facebook登录页面,除了记录受害者实际的facebook记录外还窃取受害者的登录凭证。通过调制解调器的SMS短信功能,就可以将受害者的登录详细信息发送给黑客。
此外,黑客可以利用允许用户发帖评论的网站诸如论坛进行跨站欺骗。黑客在插入恶意内码的同时,充分利用原有网站的安全信用优势,诱骗用户点击他们的链接。Digg,Gmail和Wikipedia以及一些其他网站都可能被跨站请求伪造(CSRF)所利用。
去年的时候,俄罗斯研究人员发现,许多3G和4G的调制解调器经常会内置到笔记本电脑中,从而方便了黑客更改互联网连接默认的DNS服务器,从而将用户定向到恶意网站。
还没有评论,来说两句吧...