Bleeping Computer于本周报导,Google在Chrome 65中所修补的Download Bombbug在今年6月出炉的Chrome 67又现身了。
Download Bomb是一种同时启动数千或数万次下载以让浏览器冻结在特定网页的手法,它让浏览器在短时间内几乎无法回应,也无法通过正常渠道关闭,而让黑客得以借由跳出窗口执行各种社交工程诈骗。 Download Bomb通常是由恶意广告所触发,最常见的黑客应用则是技术支持诈骗。
一旦受害者拨打了页面上的技术支持电话,对方即宣称可远程解决受害者的计算机问题,取得远程遥控的授权,并向受害者获取约500美元的费用,让受害者同时蒙受金钱与隐私的损失。光是微软平均每个月便收到来自全球的1.2万件技术支持诈骗投诉。
网络安全企业Malwarebytes Labs在今年2月率先披露该bug,Google随即于3月发布的Chrome 65修补,但有开发人员发现Chrome 67重新打开了该bug。
根据Bleeping Computer的测试,该bug同时影响Chrome、Firefox、Brave与Vivaldi等浏览器,但并未波及微软的IE与Microsoft Edge。
遭遇Download Bomb攻击时,其实只要关闭浏览器或重新开机就行了,在浏览器上安装广告封锁扩展程序也能有效阻挡相关攻击。