世界で7番目に大きい銀行であるHSBCへようこそ。 もちろん、現在読んでいるページはhsbc.comではなく、jameshfisher.comにあります。 同時に、Chrome for mobileデバイスでこのページにアクセスし、少し下にスクロールすると、ページにhsbc.comのアドレスバーが表示される可能性が高くなります。
( 元のページへのリンク )
Chromeのモバイルバージョンで下にスクロールすると、ブラウザーはURLの表示文字列を非表示にし、画面スペースを直接Webページに転送します。 ユーザーはこのスペースを信頼できるUIで識別するため、フィッシングサイトはこのスペースを使用して、偽のURL(Inception文字列)を表示して別のサイトになりすます。
さらに悪い。 通常、上にスクロールすると、Chromeは再びURLをレンダリングします。 私たちは彼にそれをさせないことができます! その瞬間、ブラウザーがURL文字列を非表示にすると、ページのコンテンツ全体をいわゆる「スクロールカメラ」(英語のスクロール刑務所)-「overflow:scroll」プロパティを使用する新しい要素に移動します。 現在、ユーザーはページを上にスクロールしていると考えていますが、実際には「スクロールカメラ」をスクロールしています。 映画「インセプション」(英語のインセプション)の眠っているヒーローのように、ユーザーは自分のブラウザから作業していると信じていますが、実際にはブラウザ内のブラウザにいます。
ビデオ:
説明されているメカニズムは深刻なセキュリティ問題ですか? 実際、Inceptionストリングの作成者である私でさえ、このトリックに偶然落ちました( 明らかに、私自身の実験で-およそTranslator )。 この点で、この方法でだまされる可能性のあるユーザーの数を想像できます。特に、技術的な能力が低く、知識が少ないです。 ユーザーは、ページがロードされたときにのみ正しいURLを確認できます。 彼がそれをひっくり返した後-救われる可能性はそれほど多くありません。
提示されたコンセプトの作業中に、Google ChromeからHSBC Webサイトのアドレスバーのスクリーンショットを撮り、このページに配置しました。 ページはブラウザを定義し、そのためのInception文字列を作成できます。 さらに努力すれば、Inception文字列をインタラクティブにすることができます。 このページでユーザーをだますことができなくても、Inception行にgmail.comのようなものを入力した後、もう一度試すことができます。
不正行為から身を守るには? Webページの信頼性に疑問がある場合は、URLバーを確認するだけでなく、疑わしいページを更新(または閉じてから再度開く)してください。
Google Chromeブラウザーなどのブラウザーにセキュリティ上の問題がある場合、どうすれば解決できますか? 画面スペースを増やすことと、画面上の信頼できる領域を維持することとの間にはトレードオフがあります。たとえば、スペース全体をWebページに転送する代わりに、画面スペースの小さな部分を「 死線 」より上に保つことです。 Chromeはこの小さなスペースを使用して、アドレスバーを非表示にしていることを表示できます。
同様の攻撃の説明は、Fullscreen APIに基づく攻撃です。 また- カスタムカーソル攻撃(2016) 。これは、ChromeがWebページでカーソルを設定できるために機能します。このカーソルはブラウザのビューポート外に移動できます。