par Martin Brinkmann le 29 avril 2019 dans Internet, Sécurité – Dernière mise à Jour: 29 avril 2019 – 6 commentaires
Le Phishing, la tentative de voler des données importantes telles que les informations de connexion, mots de passe ou numéros de carte de crédit des utilisateurs peu méfiants, est toujours une menace majeure sur l’Internet aujourd’hui. Microsoft Security Intelligence report de scie e-mails de phishing augmentation de 250% en 2018 seul.
La plupart des navigateurs web viennent avec certaines défenses, généralement sous forme de listes noires et d’autres mesures défensives pour détecter les attaques de phishing.
Un problème avec cette approche est qu’il des adresses de sites de phishing connus pour la plupart. La Création de la Barre est une nouvelle méthode de phishing conçus spécifiquement pour les mobiles.
De nombreux navigateurs web mobiles masquer la barre d’adresse lorsque l’utilisateur commence à défiler à élargir le contenu de la page web en cours. Puisque l’espace est à une prime sur le mobile, il est logique d’utiliser l’adresse de l’espace pour cela. Cela supprime le plus fort de l’identification de l’indicateur pour cette page web, et il fait aussi de la manière de la nouvelle méthode de phishing.
Fondamentalement, ce que la méthode de phishing n’est mis une fausse copie de la barre d’adresse en haut de l’écran dans la correction de l’emplacement de la barre d’adresse est trouvé dans habituellement. Les navigateurs devrait normalement afficher la barre d’adresse de nouveau lorsque les utilisateurs défiler vers le haut, mais la mise en œuvre d’un scroll lock sur la page empêche que cela se produise.
L’effet est que le faux la barre d’adresse — qui ressemble à la vraie-est démontré que les utilisateurs et qu’il devient difficile de quitter la page. Même pire, puisque c’est faux, il est possible de faire afficher toutes les URL du site. Un web dédié développeur peut créer une copie complète de Chrome la barre d’adresse et pas seulement un sosie.
Vous pouvez le voir en action sur James Fisher site web. Notez que vous ferez l’expérience de cette méthode de première main si vous utilisez la version mobile de Chrome pour accéder au site; sur le bureau, vous pouvez regarder le GIF animé pour voir comment il fonctionne lorsque vous vous connectez à l’aide d’appareils mobiles.
De Fisher méthode fonctionne dans Chrome pour mobile; il constate que l’on pouvait vérifier l’agent de l’utilisateur pour afficher similaire fausse adresse de bars pour les autres navigateurs web mobiles.
J’ai consulté le site sur Chrome Stable et Chrome Canary pour Android. Le remplacement travaillé dans les Canaries, mais il n’a pas dans google Chrome Stable. Si c’est causé par un paramètre dans le navigateur ou autre chose n’est pas claire.
Vous pouvez en sortir en activant un lien sur le site si vous êtes coincé dans le mobile de Chrome.
La détection que c’est faux
Pour l’instant, il est facile de détecter si la barre d’adresse est vrai ou faux; l’onglet de menu et les icônes ne pas faire une chose, et il n’est pas possible de modifier l’URL.
Les choses pourraient être plus compliquées si la méthode de phishing est développée plus loin. Quelqu’un pourrait utiliser un formulaire à la place qui accepte les entrées et rendre les icônes se comportent plus ou moins comme ils le feraient.
L’onglet nombre qui est affiché pourrait encore être un indicateur, et la plupart des utilisateurs connaissent probablement le site qu’ils ont consulté et peut remarquer que le nouveau site affiché est différent.
Maintenant, Vous: Quelle est votre opinion sur cette méthode?