微软 Edge 浏览器恶意网站警告页面可被伪造用于诈骗

据外媒报道，技术型诈骗分子可以利用微软 Edge 浏览器 ms-appx 协议漏洞，伪造恶意网站警告页面进行欺诈活动。

ms-appx 和 ms-appx-web 方案可以引用来自应用包的应用文件。这些文件通常为静态图像、数据、代码和布局文件。

当 Edge 浏览器检测到打开可疑的恶意网站时会出一个红色的警告页面“SmartScreen”。

ms-appx-web://microsoft.microsoftedge/assets/errorpages/PhishSiteEdge.htm

研究员 Manuel Caballero 称，诈骗分子可以利用漏洞创建一个伪造的警告页面，通过改变 URL 字符并附加哈希值内容伪装成合法的站点，显示文字警告并替换联系电话为诈骗电话。

window.open(“ms-appx-web://microsoft.microsoftedge/assets/errorpages/BlockSite%2ehtm?”+ “BlockedDomain=facebook.com&Host=Technical Support Really Super Legit CALL NOW/:”+ “800-111-2222#http://www.facebook.com”);

受害者只需点击电话号码链接即可非常方便的联系诈骗分子。这种诈骗方式没有出现任何“可疑操作”，这让受害者更加信服警告的真实性。

稿源：本站翻译整理，封面来源：百度搜索