安全公司 SquareX 近日披露了一种名为“Browser in the Middle”的新型钓鱼攻击手法。该手法通过伪造弹窗登录页，诱使用户输入账号密码，从而窃取敏感信息。此攻击利用了主流浏览器（如 Chrome、Edge 和 Safari）在 Fullscreen API 设计上的漏洞，黑客可将虚假登录页设置为全屏显示，隐藏 URL，增加欺骗性。

研究指出，苹果 Safari 浏览器风险最高，因其全屏切换无提示。而 Chromium 内核浏览器虽有短暂提示，但仍易被忽视。黑客常仿冒知名网站（如 Steam）的登录页面，并通过假“登录”按钮触发全屏模式，降低用户察觉概率。

用户应提高警惕，避免点击可疑链接或弹窗，同时建议浏览器厂商尽快完善 Fullscreen API 的安全机制。