安全人员文森特发现，网络犯罪分子正在分发博客和服务链接，提示访问者使用Facebook或Google账户登录，以便“阅读独家文章或购买折扣产品”。

使用Facebook和其他社交媒体账号登录可以方便使用者快速注册第三方服务，目前已被大量网站采用。通常，当您点击任何网站上的“使用Facebook登录”按钮时，将被重定向到该网站或通过该网站提供的在线弹出式浏览窗口，输入自己的Facebook用户凭据进行身份验证，并允许服务访问您的个人资料等必要信息。

然而，文森特发现，恶意博客在用户点击登录按钮后，为用户提供了一个非常逼真的假的Facebook登录提示弹窗，该登录按钮旨在捕获用户输入的凭据，就像任何网络钓鱼站点一样。

虚假弹窗实际上是使用HTML和JavaScript创建的，看起来完全和合法的浏览器窗口一样，显示状态栏、导航栏、阴影和带有绿色锁的Facebook网站的URL。根据文森特的说法，保护自己免受此类网络钓鱼攻击的唯一方法是，“实际上是尝试将弹窗提示拖离当前显示的窗口。如果将其拖出失败（弹出窗口的一部分消失在边缘之外），这就明显表示弹出窗口是假的。”

网络钓鱼攻击仍然是用户和企业面临的最严重的安全威胁之一，黑客不断尝试更多创新性的方法诱骗用户敏感信息或在线账户，国内同样存在使用社交媒体账户登录第三方服务的模式，这类网络钓鱼攻击方式也可能被复制用于针对国内用户。

文章来源：互联网

厦门聚力诚信科技有限公司（BestCert.net）是网络安全领域的专业服务提供商，专注提供SSL证书，邮件安全证书，代码签名证书等国际、国密双算法的数字证书管理服务, 涵盖所有市场主流的SSL证书类型和品牌，从证书的申请，验证，安装，证书专家全程在线支持！公司同时为各行业客户提供电子签章，身份认证等电子认证服务解决方案。