作為老生常談的話題，網絡釣魚依然是攻擊者最熱衷使用、且最行之有效的攻擊方法之一。即使是久經考驗的資深用戶，在面對層出不窮的釣魚手段有時候也可能會中招。近日，安全研究員拉斐·巴洛赫（Rafay Baloch）發現瀏覽器的反網絡釣魚功能（通常是網絡釣魚受害者最後一道防線）並不完美。

他在某些使用最廣泛的移動瀏覽器（包括Apple的Safari，Opera和Yandex）中發現了多個漏洞，而利用這些漏洞，攻擊者將能夠誘騙瀏覽器顯示與用戶實際訪問網站不同的網址。這些地址欄欺騙錯誤使攻擊者更容易使其仿冒網站看起來像合法網站，從而為試圖竊取密碼的人創造了完美的條件。

這些漏洞主要是利用瀏覽器加載頁面所需要的時間間隙期起作用的。一旦誘騙受害者打開網絡釣魚電子郵件或短信的鏈接，惡意網頁就會使用該網頁上隱藏的代碼，將瀏覽器地址欄中的惡意網址有效替換為攻擊者選擇的任何其他網址。

在某些情況下，容易受到攻擊的瀏覽器保留了綠色的掛鎖圖標，表示帶有欺騙性網址的惡意網頁是合法的。Rapid7 的研究主管Tod Beardsley 幫助Baloch 向每個瀏覽器製造商披露了漏洞，他說地址欄欺騙攻擊使移動用戶面臨特別的風險。

他表示：

在移動設備上，屏幕所顯示的空間絕對是溢價的，因此每英寸都是非常重要的，所以沒有足夠的空間來放置安全信號。在台式機瀏覽器上，您既可以查看自己所處的鏈接，也可以將鼠標懸停在鏈接上以查看要去的地方，甚至單擊鎖以獲取證書詳細信息。

這些額外的資源實際上並不存在於移動設備上，因此，位置欄不僅可以告訴用戶他們正在訪問哪個網站，而且還可以明確地並確定地告訴用戶。如果您使用的是palpay.com而不是預期的paypal.com，則可能會注意到這一點，並在輸入密碼之前知道自己在虛假網站上。這樣的欺騙性攻擊使位置欄變得模棱兩可，從而使攻擊者能夠對其假站點產生一定的信任度和信任度。

到目前為止，只有Apple和Yandex在9月和10月推出了修復程序。Opera發言人Julia Szyndzielorz表示，其Opera Touch和Opera Mini瀏覽器的修復程序“正在逐步推出”。

但是UC瀏覽器，Bolt瀏覽器和RITS瀏覽器的製造商（總共安裝了超過6億個設備）沒有對研究人員做出回應，並沒有修補漏洞。