Guten Tag, Habr! Im Internet stieß ich auf einen Artikel in englischer Sprache "The Inception Bar: Eine neue Phishing-Methode" von Jim Fisher. Es beschreibt eine interessante Art des Phishing, bei der der Bildschirmbereich der Anzeigezeichenfolge der URL der mobilen Version von Google Chrome verwendet wird. Der Originalartikel befindet sich auf der experimentellen Phishing-Seite: Sie können selbst darauf zugreifen und Ihre eigenen Schlussfolgerungen über die Gefahren der beschriebenen Methode ziehen. Wer interessiert ist, ist herzlich willkommen!
Willkommen bei HSBC, der siebtgrößten Bank der Welt. Natürlich befindet sich die Seite, die Sie gerade lesen, nicht auf hsbc.com, sondern auf jameshfisher.com. Wenn Sie diese Seite mit Chrome für mobile Geräte besuchen und ein wenig nach unten scrollen, wird auf der Seite höchstwahrscheinlich die Adressleiste von hsbc.com angezeigt:
(
Link zur Originalseite )
Wenn Sie in der mobilen Version von Chrome nach unten scrollen, blendet der Browser die Anzeigezeichenfolge der URL aus und überträgt den Bildschirmbereich direkt auf die Webseite. Da der Benutzer diesen Bereich mit einer vertrauenswürdigen Benutzeroberfläche identifiziert, verwendet eine Phishing-Site diese, um sich als eine andere Site auszugeben, indem eine gefälschte URL angezeigt wird - eine Inception-Zeichenfolge.
Weiter schlimmer. Wenn Sie nach oben scrollen, rendert Chrome die URL normalerweise erneut. Wir können ihn dazu bringen, es nicht zu tun! In dem Moment, in dem der Browser die URL-Zeile verbirgt, verschieben wir den gesamten Inhalt der Seite in die sogenannte "Scroll-Kamera" (englisches Scroll-Gefängnis) - ein neues Element, das die Eigenschaft "overflow: scroll" verwendet. Jetzt denkt der Benutzer, dass er die Seite nach oben scrollt, obwohl er tatsächlich durch die „Scrollkamera“ scrollt. Neben den schlafenden Helden des Films "Beginning" (Eng. Inception) glaubt der Benutzer, dass er über seinen Browser arbeitet, obwohl er sich tatsächlich im Browser innerhalb des Browsers befindet.
Video:
Ist der beschriebene Mechanismus ein ernstes Sicherheitsproblem? In Wahrheit ist sogar ich, der Schöpfer der Inception-Zeichenfolge, versehentlich auf diesen Trick hereingefallen (
anscheinend in meinen eigenen Experimenten - ca. Übersetzer ). In dieser Hinsicht kann ich mir vorstellen, wie viele Benutzer auf diese Weise insbesondere getäuscht werden können - weniger technisch kompetent und sachkundig. Der Benutzer kann die richtige URL nur überprüfen, wenn die Seite geladen wird. Nachdem er es heruntergeklappt hat, sind die Chancen auf Erlösung nicht so groß.
Während ich an dem vorgestellten Konzept arbeitete, machte ich einen Screenshot der Adressleiste auf der HSBC-Website von Google Chrome und platzierte ihn auf dieser Seite. Die Seite kann Ihren Browser definieren und eine Inception-Zeichenfolge dafür erstellen. Mit noch mehr Aufwand kann die Inception-Zeichenfolge interaktiv gestaltet werden. Auch wenn Sie den Benutzer auf dieser Seite nicht täuschen konnten, können Sie es erneut versuchen, nachdem er in der Inception-Zeile etwas wie gmail.com eingegeben hat.
Wie schützen Sie sich vor Betrug? Wenn Sie Zweifel an der Authentizität einer Webseite haben, überprüfen Sie nicht nur die URL-Leiste, sondern aktualisieren Sie die Seite, an der Sie zweifeln, (oder schließen Sie sie sogar und öffnen Sie sie erneut).
Wenn der Google Chrome-Browser und andere, die ihn mögen, ein Sicherheitsproblem haben, wie kann ich es dann lösen? Es gibt einen Kompromiss zwischen der Vergrößerung des Bildschirmbereichs und der Verwaltung eines vertrauenswürdigen Bereichs auf dem Bildschirm, z. B. der Beibehaltung eines kleinen Teils des Bildschirmbereichs über der "
Todeslinie ", anstatt den gesamten Bereich auf die Webseite zu übertragen. Chrome kann diesen geringen Platz nutzen, um die Tatsache anzuzeigen, dass die Adressleiste ausgeblendet ist.
Die Beschreibung eines ähnlichen Angriffs ist ein
Angriff, der auf der Vollbild-API basiert . Außerdem ein
benutzerdefinierter Cursor- Angriff
(2016) , der funktioniert, weil Chrome es einer Webseite ermöglicht, ihren Cursor zu setzen, der außerhalb des Browser-Ansichtsfensters verschoben werden kann.