피싱 공격이 브라우저 자동 완성과 비밀번호 관리자에서 개인 정보를 훔칩니다

우리는 모두 새로운 서비스에 가입하거나 온라인 쇼핑과 같은 일을 할 때 반복적으로 요구되는 개인 정보를 입력하기 위해 브라우저의 자동 완성 기능을 사용합니다. 자동 완성 기능은 우리의 필요에서 비롯된 것이지만, 최근에 브라우저가 피싱 공격자에게 정보를 제공하고 있다는 것이 발견되었습니다(상당한 시간 동안). 안타깝게도 비밀번호 관리자도 마찬가지로, 우리는 다양한 사이트를 위한 강력한 비밀번호를 생성하고 이를 저장하기 위해 사용하는 도구입니다.

핀란드의 웹 개발자이자 해커인 Viljami Kuosmanen은 Chrome, Apple의 Safari, Opera 및 LastPass와 같은 유틸리티 도구를 포함한 여러 브라우저가 사용자의 개인 정보를 제공하도록 속일 수 있다는 것을 발견했습니다. 이 정보는 브라우저가 프로필과 연결된 자동 완성 시스템에서 가져온 것입니다.

이 공격은 사용자가 정보를 입력할 때 사용자를 속이는 데 의존합니다. 사용자가 기본 정보만 제공하려고 할 때, 자동 완성이 다른 상자에 있는 다른 정보를 입력합니다. 여기서 발생하는 일은 사용자가 기본 정보만 제공하려고 할 때, 피싱 공격자가 자동 완성에 저장된 모든 정보를 얻는 것입니다. 말할 필요도 없이, 피싱 공격자는 신용 카드 정보, 우편 주소 및 사용자가 가입한 다른 서비스와 같은 다른 정보도 얻습니다. 관심이 있다면 이메일과 이름을 입력하라는 요청을 하는 이 데모 사이트를 확인할 수 있지만, 제출 후에는 휴대폰 번호와 생년월일을 사용하여 다른 개인 정보를 표시합니다.

이것이 내가 웹 양식에서 자동 완성을 좋아하지 않는 이유입니다. #phishing #security #infosec pic.twitter.com/mVIZD2RpJ3 — viljami.io 🇺🇸 (@anttiviljami) 2017년 1월 4일

그러나 Firefox는 아직 다중 상자 자동 완성 시스템을 지원하지 않기 때문에 이러한 공격에 면역이 있는 유일한 브라우저인 것 같습니다. 따라서 텍스트 필드를 활성화하지 않고는 다른 정보를 입력할 수 없습니다. 피싱 공격은 여전히 사용자가 자동 완성을 사용하여 최소한 일부 정보를 입력하도록 유도하여 공격자에게 길을 열어줍니다. 구글 크롬을 포함한 일부 브라우저에서는 자동 완성이 기본적으로 활성화되어 있어 이러한 공격으로부터 자신을 보호하기 위해 이를 끄는 것이 좋습니다. 그동안 어떤 데이터를 제공하기 전에 신중한 페이지를 살펴보는 것도 잊지 마세요.