看哪，一个密码钓鱼网站，甚至可以欺骗精明的用户-零度会员

就在您认为自己已经看到了所有网络钓鱼技巧时，BitB 出现了。

当我们教人们如何避免成为网络钓鱼网站的受害者时，我们通常建议仔细检查地址栏以确保它确实包含 HTTPS 并且不包含可疑域（如 google.evildomain.com）或替代字母（如 g00gle） .com。但是，如果有人找到了一种使用不包含这些迹象的恶意网站来钓鱼密码的方法呢？

一位研究人员设计了一种技术来做到这一点。他称其为 BitB，是“浏览器中的浏览器”的缩写。它使用真实浏览器窗口中的虚假浏览器窗口来欺骗 OAuth 页面。成千上万的网站使用OAuth 协议让访问者使用他们在 Google、Facebook 或 Apple 等公司的现有帐户登录。访问者不必在新站点上创建帐户，而是可以使用他们已有的帐户——剩下的一切由 OAuth 的魔力完成。

利用信任

例如，照片编辑网站 Canva 为访问者提供了使用三个常用帐户中的任何一个登录的选项。下图显示了用户单击“登录”按钮后看到的内容；之后，图像显示选择使用 Google 密码登录后出现的内容。用户选择 Google 后，一个具有合法地址的新浏览器窗口会在现有 Canva 窗口前面打开。

OAuth 协议确保只有 Google 接收用户密码。Canva 永远不会看到凭据。相反，OAuth 会安全地与 Google 建立登录会话，并且当用户名和密码签出时，Google 会向访问者提供一个令牌，该令牌可以访问 Canva。（当购物者选择 PayPal 等支付方式时，也会发生类似的情况。）

BitB 技术利用了这个方案。BitB 没有打开连接到便于登录或付款的站点的真正的第二个浏览器窗口，而是使用一系列 HTML 和级联样式表 (CSS) 技巧来令人信服地欺骗第二个窗口。出现在那里的 URL 可以显示一个有效的地址，并带有一个挂锁和 HTTPS 前缀。窗口的布局和行为看起来与真实事物相同。

上周，一位使用 mr.d0x 句柄的研究人员描述了该技术。他的概念验证漏洞利用从一个网页开始，该网页显示了对 Canva 的精确欺骗。如果访问者选择使用 Apple、Google 或 Facebook 登录，伪造的 Canva 页面会打开一个新页面，其中嵌入了看起来很熟悉的 OAuth 页面。

这个新页面也是一个恶搞。它包括人们在使用 Google 登录时希望看到的所有图形。该页面的地址栏中还显示了合法的 Google 地址。如果连接到真正的 Google OAuth 会话，新窗口的行为与浏览器窗口非常相似。

如果潜在的受害者打开虚假的 Canva.com 页面并尝试使用 Google 登录，“它将打开一个新的浏览器窗口并转到 [看起来是] URL accounts.google.com，”mr.d0x 在一篇文章中写道信息。实际上，伪造的 Canva 网站“并没有打开新的浏览器窗口。它使它看起来像打开了一个新的浏览器窗口，但它只是 HTML/CSS。现在那个假窗口将 URL 设置为 accounts.google.com，但这是一种错觉。”