Buen dia, Habr! En Internet, me encontré con un artículo en inglés "La barra de inicio: un nuevo método de phishing" de Jim Fisher. Describe una forma interesante de phishing, cuyo mecanismo es utilizar el espacio de pantalla de la cadena de visualización de la URL de la versión móvil de Google Chrome. El artículo original se encuentra en la página experimental de suplantación de identidad (phishing): puede hacerlo usted mismo y sacar su propia conclusión sobre los peligros del método descrito. Cualquiera que esté interesado, bienvenido bajo corte!
Bienvenido a HSBC, el séptimo banco más grande del mundo. Por supuesto, la página que está leyendo actualmente no se encuentra en hsbc.com, sino en jameshfisher.com. Al mismo tiempo, si visita esta página con Chrome para dispositivos móviles y se desplaza un poco hacia abajo, lo más probable es que la página muestre la barra de direcciones de hsbc.com:
(
enlace a la página original )
Al desplazarse hacia abajo en la versión móvil de Chrome, el navegador oculta la cadena de visualización de la URL y transfiere su espacio de pantalla directamente a la página web. Como el usuario identifica este espacio con una IU confiable, un sitio de phishing lo utiliza para suplantar a otro sitio al mostrar una URL falsa, una cadena de inicio.
Más aún peor. Por lo general, cuando te desplazas hacia arriba, Chrome vuelve a mostrar la URL. ¡Podemos hacer que no lo haga! En ese momento, cuando el navegador oculta la línea URL, trasladamos todo el contenido de la página a la llamada "cámara de desplazamiento" (cárcel de desplazamiento en inglés), un nuevo elemento que utiliza la propiedad "desbordamiento: desplazamiento". Ahora el usuario piensa que está desplazándose hacia arriba en la página, aunque de hecho está desplazándose a través de la "cámara de desplazamiento". Al igual que los héroes dormidos de la película "Inception" (Eng. Inception), el usuario cree que está trabajando desde su navegador, aunque de hecho está en el navegador dentro del navegador.
Video:
¿Es el mecanismo descrito un serio problema de seguridad? En verdad, incluso yo, el creador de la cadena Inception, accidentalmente me enamoré de este truco (
aparentemente, en mis propios experimentos, traductor de aprox. ). A este respecto, puedo imaginar cuántos usuarios pueden ser engañados de esta manera, en particular, menos técnicamente competentes y conocedores. El usuario puede verificar la URL correcta solo cuando se carga la página. Después de que lo volteó, las posibilidades de salvación no son tantas.
Mientras trabajaba en el concepto presentado, tomé una captura de pantalla de la barra de direcciones en el sitio web de HSBC de Google Chrome y la coloqué en esta página. La página puede definir su navegador y crear una cadena Inception para él. Con aún más esfuerzo, la cadena de inicio se puede hacer interactiva. Incluso si no puede engañar al usuario en esta página, puede intentarlo nuevamente después de que ingrese algo como gmail.com en la línea de Inicio.
¿Cómo protegerse de las trampas? Si tiene dudas sobre la autenticidad de una página web, no solo verifique la barra de URL, sino que actualice (o incluso cierre y vuelva a abrir) la página que está dudando.
Si el navegador Google Chrome y otros similares tienen un problema de seguridad, ¿cómo puedo solucionarlo? Existe una compensación entre aumentar el espacio de la pantalla y mantener un área de confianza en la pantalla, como mantener una pequeña porción del espacio de la pantalla por encima de la "
línea de muerte " en lugar de transferir todo el espacio a la página web. Chrome puede usar esta pequeña cantidad de espacio para mostrar el hecho de ocultar la barra de direcciones.
La descripción de un ataque similar es un
ataque basado en la API de pantalla completa . Además, un ataque de
cursor personalizado (2016) , que funciona gracias al hecho de que Chrome permite que una página web establezca su cursor, que se puede mover fuera de la ventana del navegador.