Taarifa imechapishwa kuhusu mbinu ya kuhadaa ili kupata maelezo ya kibinafsi ambayo humruhusu mtumiaji kuunda udanganyifu wa kufanya kazi na aina halali ya uthibitishaji kwa kuunda upya kiolesura cha kivinjari katika eneo linaloonyeshwa juu ya dirisha la sasa kwa kutumia iframe. Iwapo wavamizi wa awali walijaribu kumhadaa mtumiaji kwa kusajili vikoa vilivyo na tahajia zinazofanana au kubadilisha vigezo katika URL, kisha kwa kutumia mbinu iliyopendekezwa kwa kutumia HTML na CSS, vipengele huchorwa juu ya dirisha ibukizi ambalo huiga kiolesura cha kivinjari, ikiwa ni pamoja na. kichwa kilicho na vifungo vya udhibiti wa dirisha na bar ya anwani , ambayo inajumuisha anwani ambayo sio anwani halisi ya maudhui.
Kwa kuzingatia kwamba tovuti nyingi hutumia fomu za uthibitishaji kupitia huduma za wahusika wengine zinazotumia itifaki ya OAuth, na fomu hizi zinaonyeshwa kwenye dirisha tofauti, kutengeneza kiolesura cha uwongo cha kivinjari kunaweza kupotosha hata mtumiaji mwenye uzoefu na makini. Mbinu iliyopendekezwa, kwa mfano, inaweza kutumika kwenye tovuti zilizodukuliwa au zisizostahili kukusanya data ya nenosiri la mtumiaji.
Mtafiti aliyeangazia tatizo hilo alichapisha seti iliyotengenezwa tayari ya mipangilio inayoiga kiolesura cha Chrome katika mandhari meusi na mepesi kwa macOS na Windows. Dirisha ibukizi huundwa kwa kutumia iframe iliyoonyeshwa juu ya maudhui. Ili kuongeza uhalisia, JavaScript inatumika kufunga vishikilizi vinavyokuruhusu kusogeza kidirisha cha dummy na ubofye vitufe vya kudhibiti dirisha.
Chanzo: opennet.ru