Публикувана е информация за фишинг метод, който създава илюзията за легитимна форма за удостоверяване, като пресъздава интерфейса на браузъра в област, показана върху текущия прозорец, използвайки iframe. Докато нападателите са се опитвали да подведат потребителите, като регистрират домейни с подобен шрифт или манипулират URL параметри, предложеният метод използва HTML и CSS, за да изобрази елементи, наподобяващи интерфейса на браузъра, в горната част на изскачащия прозорец, включително заглавна лента с бутони за управление на прозореца и адресна лента, съдържаща адрес, който не съответства на действителния адрес на съдържанието.
Като се има предвид, че много уебсайтове използват формуляри за удостоверяване чрез услуги на трети страни, които поддържат протокола OAuth, и тези формуляри се показват в отделен прозорец, генерирането на фалшив интерфейс на браузъра може да подведе дори опитен и внимателен потребител. Предложеният метод, например, може да се използва на хакнати или ненадеждни уебсайтове за събиране на потребителски пароли.
Изследователят, който забеляза проблема, публикува готов набор от макети, симулиращи интерфейса на Chrome в тъмни и светли теми за macOS и WindowsИзскачащият прозорец се създава с помощта на iframe, показван върху съдържанието. За да се добави реализъм, са прикачени JavaScript манипулатори, които позволяват преместването на фиктивния прозорец и щракването върху бутоните за управление на прозореца.
Източник: opennet.ru
