Апублікаваны звесткі аб метадзе фішынгу, які дазваляе стварыць у карыстача ілюзію працы з легітымнай формай аўтэнтыфікацыі праз узнаўленне інтэрфейсу браўзэра ў вобласці, якая выводзіцца па-над бягучым акном пры дапамозе iframe. Калі раней зламыснікі спрабавалі падмануць карыстача рэгіструючы падобныя па напісанні дамены ці маніпулюючы параметрамі ў URL, то пры дапамозе прапанаванага метаду сродкамі HTML і CSS у верхняй частцы ўсплывальнага акна адмалёўваюцца элементы, паўтаральныя інтэрфейс браўзэра, і ў тым ліку загаловак з кнопкамі кіравання акном і , якая ўключае адрас, які не супадае з фактычным адрасам змесціва.
З улікам таго, што на шматлікіх сайтах выкарыстоўваюцца формы аўтэнтыфікацыі праз іншыя сэрвісы, якія падтрымліваюць пратакол OAuth, і гэтыя формы паказваюцца ў асобным акне, генерацыя фіктыўнага інтэрфейсу браўзэра можа ўвесці ў зман нават дасведчанага і ўважлівага карыстальніка. Прапанаваны метад, напрыклад, можа прымяняцца на ўзламаных ці не годных сайтах для збору дадзеных аб паролях карыстальнікаў.
Даследчык, які звярнуў увагу на праблему, апублікаваў гатовы набор макетаў, якія сімулююць інтэрфейс Chrome у цёмных і светлых тэмах афармлення для macOS і Windows. Усплывальнае акно фармуецца пры дапамозе iframe, які выводзіцца па-над кантэнтам. Для надання рэалістычнасці пры дапамозе JavaScript прывязваюцца апрацоўшчыкі, якія дазваляюць перамяшчаць фіктыўнае акно і націскаць на кнопкі кіравання акном.
Крыніца: opennet.ru