Inligting is gepubliseer oor 'n uitvissingsmetode wat die gebruiker in staat stel om die illusie te skep om met 'n wettige vorm van verifikasie te werk deur die blaaierkoppelvlak te herskep in 'n area wat oor die huidige venster vertoon word met behulp van 'n iframe. As vroeΓ«r aanvallers probeer het om die gebruiker te mislei deur domeine soortgelyk in spelling te registreer of parameters in die URL te manipuleer, en dan met behulp van die voorgestelde metode deur HTML en CSS te gebruik, word elemente wat die blaaierkoppelvlak herhaal boaan die opspringvenster geteken, insluitend die titel met vensterbeheerknoppies en die adresbalk A wat 'n adres insluit wat nie ooreenstem met die werklike adres van die inhoud nie.
Aangesien baie werwe verifikasievorms gebruik deur derdepartydienste wat die OAuth-protokol ondersteun, en hierdie vorms in 'n aparte venster vertoon word, kan die generering van 'n fiktiewe blaaierkoppelvlak selfs 'n ervare en oplettende gebruiker mislei. Die voorgestelde metode kan byvoorbeeld op gehackte of onverdiende werwe gebruik word om gebruikerswagwoorddata in te samel.
Die navorser wat die aandag op die probleem gevestig het, het 'n klaargemaakte stel uitlegte gepubliseer wat die Chrome-koppelvlak in donker en ligte temas vir macOS en Windows simuleer. Die opspringvenster word gevorm met behulp van 'n iframe wat oor die inhoud vertoon word. Om realisme by te voeg, met JavaScript, is hanteerders aangeheg wat jou toelaat om die dummy-venster te skuif en op die vensterbeheerknoppies te klik.
Bron: opennet.ru