iframe を使用して現在のウィンドウの上部に表示される領域にブラウザ インターフェイスを再作成することで、ユーザーが正規の認証形式を使用しているように錯覚させるフィッシング手法に関する情報が公開されています。以前の攻撃者が、類似したスペルのドメインを登録したり、URL 内のパラメータを操作したりしてユーザーを欺こうとした場合、HTML と CSS を使用した提案された方法を使用すると、ブラウザ インターフェイスを複製する要素がポップアップ ウィンドウの上部に描画されます。ウィンドウ コントロール ボタンを備えたヘッダーと、コンテンツの実際のアドレスではないアドレスを含むアドレス バー。
多くのサイトが OAuth プロトコルをサポートするサードパーティ サービスを通じて認証フォームを使用しており、これらのフォームが別のウィンドウに表示されることを考慮すると、架空のブラウザ インターフェイスを生成すると、経験豊富で注意深いユーザーであっても誤解を招く可能性があります。たとえば、提案された方法は、ハッキングされたサイトや不適切なサイトでユーザーのパスワード データを収集するために使用できます。
この問題に注目した研究者は、macOS と Windows 向けに、暗いテーマと明るいテーマで Chrome インターフェイスをシミュレートする既製のレイアウト セットを公開しました。ポップアップ ウィンドウは、コンテンツの上に表示される iframe を使用して形成されます。現実感を加えるために、ダミー ウィンドウを移動したりウィンドウ コントロール ボタンをクリックできるようにするハンドラーをバインドするために JavaScript が使用されています。
出所: オープンネット.ru