已发布有关网络钓鱼方法的信息,该方法允许用户通过使用 iframe 在当前窗口顶部显示的区域中重新创建浏览器界面,从而产生使用合法身份验证形式的假象。 如果早期攻击者试图通过注册具有相似拼写的域或操纵 URL 中的参数来欺骗用户,那么使用所提出的使用 HTML 和 CSS 的方法,会在弹出窗口的顶部绘制复制浏览器界面的元素,包括带有窗口控制按钮和地址栏的标题,其中包含的地址不是内容的实际地址。
考虑到许多站点通过支持 OAuth 协议的第三方服务使用身份验证表单,并且这些表单显示在单独的窗口中,生成虚构的浏览器界面甚至可能会误导经验丰富且细心的用户。 例如,所提出的方法可以在被黑客攻击或不值得的网站上使用来收集用户密码数据。
一位提请人们注意这个问题的研究人员发布了一组现成的布局,模拟 macOS 和 Windows 的深色和浅色主题的 Chrome 界面。 弹出窗口是使用显示在内容顶部的 iframe 形成的。 为了增加真实感,JavaScript 用于绑定处理程序,允许您移动虚拟窗口并单击窗口控制按钮。
来源: opennet.ru