Thông tin đã được công bố về một phương pháp lừa đảo cho phép người dùng tạo ra ảo giác đang làm việc với một hình thức xác thực hợp pháp bằng cách tạo lại giao diện trình duyệt trong khu vực hiển thị phía trên cửa sổ hiện tại bằng iframe. Nếu những kẻ tấn công trước đó cố gắng đánh lừa người dùng bằng cách đăng ký các tên miền có cách viết tương tự hoặc thao túng các tham số trong URL, thì bằng phương pháp được đề xuất bằng HTML và CSS, các phần tử sao chép giao diện trình duyệt sẽ được vẽ ở đầu cửa sổ bật lên, bao gồm tiêu đề có các nút điều khiển cửa sổ và thanh địa chỉ, bao gồm một địa chỉ không phải là địa chỉ thực của nội dung.
Xem xét rằng nhiều trang web sử dụng biểu mẫu xác thực thông qua các dịch vụ của bên thứ ba hỗ trợ giao thức OAuth và các biểu mẫu này được hiển thị trong một cửa sổ riêng biệt, việc tạo giao diện trình duyệt hư cấu có thể đánh lừa ngay cả người dùng có kinh nghiệm và chu đáo. Ví dụ: phương pháp được đề xuất có thể được sử dụng trên các trang web bị tấn công hoặc không xứng đáng để thu thập dữ liệu mật khẩu người dùng.
Nhà nghiên cứu phát hiện ra vấn đề này đã công bố một bộ mô phỏng sẵn có, mô phỏng giao diện Chrome ở chế độ tối và sáng. macOS и WindowsCửa sổ bật lên được tạo bằng iframe và hiển thị trên nội dung. Để tăng tính chân thực, các trình xử lý JavaScript được gắn vào, cho phép di chuyển cửa sổ giả và nhấp vào các nút điều khiển của cửa sổ.
Nguồn: opennet.ru
