von Martin Brinkmann am April 29, 2019 in Internet -, Security – Letzte Aktualisierung: April 29, 2019 – 5 Kommentare
Phishing ist der Versuch, zu stehlen wichtige Daten wie login-Informationen, Passwörter oder Kreditkarten-Nummern von ahnungslosen Anwendern, ist immer noch eine große Bedrohung auf das heutige Internet. Microsoft Security Intelligence report sah phishing-E-Mails Anstieg von 250% im Jahr 2018 allein.
Die meisten web-Browser kommen mit gewissen einreden, in der Regel in form von blacklists und andere defensive Maßnahmen zum erkennen von phishing-Angriffen.
Ein problem bei dem Ansatz ist, dass es Adressen, die bekannte phishing-Websites, für die meisten Teil. Die Gründung Bar ist eine neue phishing-Methode, die speziell für mobile.
Viele mobile web-Browser ausblenden der Adressleiste angezeigt, wenn ein Benutzer beginnt zu Blättern, erweitern Sie den Inhalt der aktiven Webseite. Da der Raum eine Prämie auf mobile, macht es Sinn, den Adressraum. Dabei entfernt die stärksten identifizieren Indikator für die Webseite, und es macht auch den Weg für die neue phishing-Methode.
Im Grunde, was die phishing-Methode tut, setzen Sie eine gefälschte Kopie der Adressleiste am oberen Rand des Bildschirms in die Feste Position der Adressleiste zu finden ist in der Regel. Browser normalerweise angezeigt wird die Adressleiste wieder, wenn der Benutzer einen Bildlauf bis aber die Umsetzung der scroll lock-Taste auf der Seite, die verhindert, dass aus geschieht.
Der Effekt ist, dass die fake-Adresse-bar-das sieht ähnlich aus wie die real-Nutzern angezeigt werden, und dass es schwierig wird, verlassen Sie die Seite. Sogar noch schlimmer, da ist es fake, ist es möglich, um es anzuzeigen, die site-URL. Einen engagierten web-Entwickler erstellen Sie eine vollständige Kopie von Chrome ‘ s Adressleiste und nicht nur einen Doppelgänger.
Sehen Sie es in Aktion auf James Fisher ‘ s website. Beachten Sie, dass die Erfahrung, diese Methode aus Erster hand bei Verwendung der mobilen version von Chrome auf die Website zugreifen; auf dem desktop, sehen Sie die animierte GIF-Datei, um zu sehen, wie es funktioniert, wenn Sie die Verbindung mit mobilen Geräten.
Fisher ‘ s Methode funktioniert in Chrome mobile, und er stellt fest, dass man überprüfen könnte, für die Benutzer-agent-display ähnlich wie fake-Adresse bars auch für andere mobile web-Browser.
Ich zugegriffen die Website in Chrome Stabil und Chrome Canary für Android. Der Ersatz arbeitete in Canary aber nicht in Chrome Stabil. Ob das verursacht wird durch eine Einstellung im browser oder etwas anderes ist unklar.
Man kann es durch die Aktivierung eines Links auf der Website, wenn Sie stecken in den mobilen Chrome.
Erkennen, dass es fake ist
Für jetzt, es ist leicht zu erkennen, ob die Adressleiste ist echt oder gefälscht; die tab-und die Menü-icons nicht tun, und es ist nicht möglich, Bearbeiten Sie die URL entweder.
Könnten die Dinge noch komplizierter, wenn die phishing-Methode weiterentwickelt. Könnte jemand ein Formular verwenden, anstatt, dass Eingaben akzeptiert und die Symbole Verhalten sich mehr oder weniger wie Sie.
Die tab-count, die angezeigt wird, noch könnte ein Indikator sein, und die meisten Benutzer kennen wahrscheinlich die Seite, die Sie aufgerufen und feststellen können, dass der neue Standort angezeigt wird, ist Verschieden.
Jetzt Sie: Was ist Ihr nehmen auf diese Methode?