L'infurmazione hè stata publicata nantu à un metudu di phishing chì permette à l'utilizatori di creà l'illusione di travaglià cù una forma legittima di autentificazione ricreendu l'interfaccia di u navigatore in una zona affissata nantu à a finestra attuale cù un iframe. Se l'attaccanti prima anu pruvatu à ingannà l'utilizatore registrendu domini simili in l'ortografia o manipulendu paràmetri in l'URL, allora utilizendu u metudu prupostu cù HTML è CSS, elementi chì ripetenu l'interfaccia di u navigatore sò disegnati in cima di a finestra pop-up, cumprese u tìtulu cù i buttuni di cuntrollu di a finestra è a barra d'indirizzu A chì include un indirizzu chì ùn currisponde micca à l'indirizzu propiu di u cuntenutu.
Dapoi chì parechji siti utilizanu forme d'autentificazione attraversu servizii di terzu chì supportanu u protokollu OAuth, è sti formi sò affissati in una finestra separata, a generazione di una interfaccia di navigatore fittizia pò ingannà ancu un utilizatore espertu è attentu. U metudu prupostu, per esempiu, pò esse usatu in siti pirate o senza meritu per cullà i dati di password di l'utilizatori.
L'investigatore chì hà attiratu l'attenzione à u prublema hà publicatu un set di layout pronti chì simulanu l'interfaccia di Chrome in temi scuri è luminosi per macOS è Windows. A finestra popup hè furmatu cù un iframe affissatu nantu à u cuntenutu. Per aghjunghje u realismu, usendu JavaScript, i manipulatori sò attaccati chì permettenu di spustà a finestra manichi è cliccà nantu à i buttoni di cuntrollu di a finestra.
Source: opennet.ru