“401钓鱼漏洞”伪造登录框盗号 360全面防御

近日有网友反馈收到可疑邮件，自己在已经登录邮箱的状态下，打开邮件时网页又弹出一个“登录框”，要求输入用户名和密码。对此，360安全专家表示这是黑客利用“401钓鱼漏洞”伪造的登录框，一旦输入密码就会被盗号。据悉，这类钓鱼攻击主要针对IE内核浏览器，目前360安全卫士及浏览器用户均可全面防御“401钓鱼漏洞”。

图：钓鱼邮件在网页上弹出虚假的“登录框”

360安全专家石晓虹博士表示，“401钓鱼漏洞”主要是利用HTTPAuth（基础连接认证）方式，将恶意链接作为图片网址发在论坛帖、博客文章和评论、邮件正文等处，使其他用户访问时页面自动弹出“登录框”。如果用户不加辨识，会误以为需要再次登录，就会将帐号密码发送到黑客服务器上。

针对“401钓鱼漏洞”，，360安全浏览器6.0版、360极速浏览器等双核浏览器在“Chrome内核极速模式”下，可天然免疫此类漏洞攻击。对于受漏洞影响最大的IE内核浏览器，360安全卫士也已紧急升级防御措施，能够拦截黑客利用漏洞伪造的“登录框”，保护用户防范盗号。

关于奇虎360科技有限公司

奇虎360(NYSE:QIHU)是中国第一大互联网安全服务提供商。按照用户数量计算，目前奇虎360是中国第三大互联网公司。作为“免费安全”的首创者，奇虎360为近4亿中国互联网用户提供领先的互联网和无线安全产品及服务，覆盖率近90%。奇虎360通过提供细致、完善的平台服务以及网络安全服务，以开放平台实现商业价值，与合作伙伴共同建立起多方共赢的互联网生态体系。