Informoj estis publikigitaj pri phishing-metodo kiu permesas al la uzanto krei la iluzion labori kun legitima formo de aŭtentikigo rekreante la retumila interfaco en areo montrita supre de la nuna fenestro uzante iframon. Se pli fruaj atakantoj provis trompi la uzanton registrante domajnojn kun similaj literumoj aŭ manipulante parametrojn en la URL, tiam uzante la proponitan metodon uzante HTML kaj CSS, elementoj estas desegnitaj ĉe la supro de la ŝprucfenestro, kiuj reproduktas la retumilon interfacon, inkluzive de kaplinio kun fenestrokontrolbutonoj kaj adresbreto , kiu inkluzivas adreson kiu ne estas la fakta adreso de la enhavo.
Konsiderante, ke multaj retejoj uzas aŭtentigajn formojn per triaj servoj, kiuj subtenas la OAuth-protokolon, kaj ĉi tiuj formoj estas montrataj en aparta fenestro, generi fikcian retumila interfaco povas trompi eĉ spertan kaj atentan uzanton. La proponita metodo, ekzemple, povas esti uzata sur hakitaj aŭ nemeritaj retejoj por kolekti uzantpasvortajn datumojn.
Esploristo, kiu atentigis la problemon, publikigis pretan aron de aranĝoj simulante la Chrome-interfacon en malhelaj kaj malpezaj temoj por macOS kaj Vindozo. Ŝprucfenestro estas formita uzante iframon montritan supre de la enhavo. Por aldoni realismon, JavaScript estas uzata por ligi prizorgantojn, kiuj ebligas al vi movi la imitan fenestron kaj alklaki fenestrokontrolajn butonojn.
fonto: opennet.ru