一种名为“盗梦空间栏”(Inception Bar)的新型网络钓鱼技术出现了,并被证实适用于 Chrome 移动版。
该方法允许黑客屏蔽 Chrome 移动版上的真实网址并显示虚假网址,并附带挂锁图标,以欺骗用户相信他们正在滚动的网页是合法且安全的。更糟糕的是,假 URL 也可以显示为带有交互式内容的动态栏。
开发人员 Jim Fisher 无意中发现这一方法,并在其个人博客进行实验,展示了它的工作方式。
在 Chrome 移动版中,当用户向下滑动页面时,浏览器会隐藏 URL 栏,为网页腾出更多空间。正因如此,网络钓鱼站点得以显示自己的虚假 URL 栏。
通常,当用户向上滚动时,Chrome 会重新显示网址栏。但黑客可以欺骗 Chrome,使真正的网址栏永远不会重新显示。
一旦 Chrome 隐藏了 URL 栏,整个页面内容都可以被移动到带有新元素overflow:scroll
的“滚动监狱”中。接下来,用户会以为他们在向上滑动页面,但事实上他们只是在“滚动监狱”中向上滚动,就像《盗梦空间》中的套环梦境一样。
虽然黑客可以使用 URL 栏的静态图像来掩盖真实的 URL,但他们甚至可以创建一个交互式 URL 栏,使其看起来更加可信。
目前为止,还没有关于恶意利用该方法造成破坏的报道。我们可以采取一些措施来保护自己免受“盗梦空间栏”的攻击:
- 在 Chrome 浏览器中访问网页时,可以锁定屏幕然后重新解锁。这时,被隐藏起来的真实 URL 会自动显示,如果网络钓鱼站点在起作用,用户将同时看到两个 URL 栏;
- 钓鱼栏右上角的选项卡数量通常显示不准确,留心检查已在不同选项卡中打开的网页数量,则可以发现异常;
- Chrome 的黑暗模式会将所有 UI 元素设置为黑色,而虚假的 URL 栏通常显示为白色,这也可在一定程度上帮助识别伪 URL 栏。
(稿源:开源中国,封面源自网络。)
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
喜欢就支持一下吧
请登录后发表评论
注册