回答

什么是 BitB 网络钓鱼攻击？

浏览器中浏览器 (BitB) 攻击涉及弹出单点登录 (SSO) 身份验证窗口的副本。当您尝试在新站点上创建帐户时，伪 SSO 窗口打开并提示您使用 Facebook、Gmail 或其他采用OAuth 方法的站点登录。

与传统的网络钓鱼攻击不同，BitB 窗口完美地复制了实际 URL 的外观——您不会在地址栏中看到 G00gle 或 Hotmial。那是因为它不是真正的窗口，而是使用 HTML 和 CSS 制作的插图。聪明，不是吗？即使是经验丰富的 IT 专业人员，它也足以愚弄。

输入用户名和密码后，黑客就会窃取您的登录凭据以访问您的帐户。由于许多人对多个站点使用相同的凭据，黑客可以扫描您的所有帐户并查找信用卡号或其他敏感数据。这就是为什么90% 的成功数据泄露都始于网络钓鱼。这几乎太容易了。

怎么运行的

首先，黑客创建了一个包含有趣内容的独特网站——这可能是一个工作列表网站或流媒体服务。然后，当您尝试在网站上创建帐户时，他们会制作一个虚假的 SSO 身份验证窗口。

为了制作虚假弹出窗口，黑客使用模板来复制 Facebook、Apple 和 Google 等网站的外观。本质上，他们在网页上绘制了一个假窗口。网络钓鱼框架以及 JavaScript 和 JQuery 的一点帮助使这种黑帽技术变得轻而易举。

如何检测 BitB 骗局

您不必成为最新网络钓鱼计划的受害者。虽然它很微妙，但还是有办法阻止 BitB 攻击的企图。

1.使用密码管理器

密码管理器会自动在真正的 SSO 身份验证窗口中填写您的登录凭据，但它不会误以为 BitB 弹出窗口是合法窗口。用户名和密码框将保持为空。

2. 拖动登录窗口

如果您无法将登录窗口拖离主浏览器窗口或地址栏，则表明您正在应对 BitB 网络钓鱼攻击。BitB 窗口将经过地址栏后面而不是上方。

3.最小化主浏览器窗口

当您最小化主窗口时，登录窗口是否也会消失？如果是这样，那就是另一个线索，它不是合法的SSO 身份验证窗口，而是一个模拟窗口。

4.安装NoScript

因为这个软件扩展禁用了页面上的 JavaScript 元素，所以它可以防止 BitB 窗口弹出。作为奖励，NoScript还禁用了 Flash、媒体编解码器、网络字体和 WebGL。所有可执行的 Web 内容都将远离您的屏幕。

不要上钩

浏览器中的浏览器网络钓鱼是一种巧妙的新方案，但与所有黑客攻击尝试一样，有很多方法可以绕过它。发现 BitB 攻击的最简单方法是四处拖动弹出窗口。如果它留在页面上，那就是假的。

在所有帐户上启用双因素身份验证也是一个好主意。这样，即使黑客窃取了您的凭据，他们也无法登录。黑客一直在变得越来越狡猾，但只要具备一点常识和良好的网络安全实践，您就可以在他们自己的游戏中击败他们。