Maklumat telah diterbitkan tentang kaedah pancingan data yang membolehkan pengguna mencipta ilusi bekerja dengan bentuk pengesahan yang sah dengan mencipta semula antara muka penyemak imbas di kawasan yang dipaparkan di atas tetingkap semasa menggunakan iframe. Jika penyerang terdahulu cuba menipu pengguna dengan mendaftarkan domain dengan ejaan yang serupa atau memanipulasi parameter dalam URL, kemudian menggunakan kaedah yang dicadangkan menggunakan HTML dan CSS, elemen dilukis di bahagian atas tetingkap timbul yang mereplikasi antara muka penyemak imbas, termasuk pengepala dengan butang kawalan tetingkap dan bar alamat , yang termasuk alamat yang bukan alamat sebenar kandungan.
Memandangkan banyak tapak menggunakan borang pengesahan melalui perkhidmatan pihak ketiga yang menyokong protokol OAuth, dan borang ini dipaparkan dalam tetingkap berasingan, menghasilkan antara muka penyemak imbas rekaan boleh mengelirukan walaupun pengguna berpengalaman dan prihatin. Kaedah yang dicadangkan, sebagai contoh, boleh digunakan pada tapak yang digodam atau tidak layak untuk mengumpul data kata laluan pengguna.
Seorang penyelidik yang menarik perhatian kepada masalah itu menerbitkan set susun atur sedia yang mensimulasikan antara muka Chrome dalam tema gelap dan terang untuk macOS dan Windows. Tetingkap pop timbul dibentuk menggunakan iframe yang dipaparkan di atas kandungan. Untuk menambah realisme, JavaScript digunakan untuk mengikat pengendali yang membolehkan anda mengalihkan tetingkap tiruan dan klik pada butang kawalan tetingkap.
Sumber: opennet.ru