Byly zveřejněny informace o metodě phishingu, která umožňuje uživateli vytvořit iluzi práce s legitimní formou autentizace tím, že znovu vytvoří rozhraní prohlížeče v oblasti zobrazené nad aktuálním oknem pomocí prvku iframe. Pokud se dřívější útočníci pokusili oklamat uživatele registrací domén podobných pravopisem nebo manipulací s parametry v URL, pak pomocí navržené metody pomocí HTML a CSS se v horní části vyskakovacího okna vykreslí prvky, které opakují rozhraní prohlížeče, včetně nadpis s tlačítky pro ovládání okna a adresním řádkem A, který obsahuje adresu, která neodpovídá skutečné adrese obsahu.
Vzhledem k tomu, že řada webů používá ověřovací formuláře prostřednictvím služeb třetích stran, které podporují protokol OAuth a tyto formuláře se zobrazují v samostatném okně, může generování fiktivního rozhraní prohlížeče uvést v omyl i zkušeného a pozorného uživatele. Navrhovaná metoda může být například použita na hacknutých nebo nezasloužených stránkách ke sběru údajů o heslech uživatelů.
Výzkumník, který na problém upozornil, zveřejnil hotovou sadu rozložení, která simulují rozhraní Chrome v tmavých a světlých motivech pro macOS a Windows. Vyskakovací okno se tvoří pomocí prvku iframe zobrazeného nad obsahem. Pro doplnění realismu jsou pomocí JavaScriptu připojeny obslužné programy, které vám umožňují přesouvat fiktivní okno a klikat na tlačítka ovládání okna.
Zdroj: opennet.ru