移动Chrome恶作剧可能会瞄准Android用户

用于隐藏移动Chrome Web浏览器用户的网站真实位置的新方法已经浮出水面。

安全研究员詹姆斯·费舍尔(James Fisher)周六在他的个人博客上发表的一篇文章中称，网络钓鱼者可以欺骗用户向合法网站透露他们对恶意网站运营商的凭据。

Fisher解释说，骗子可以利用移动Chrome的功能，当用户在网页上滚动时，通过插入允许假网站伪造成合法网站的地址栏来隐藏地址栏。

更糟糕的是，诈骗者可以创建一个“滚动监狱”，阻止用户查看页面的真实URL，即使他们滚动到顶部。

“用户认为他们正在页面中向上滚动，”费舍尔写道，“但实际上他们只是在滚动监狱中向上滚动!就像Inception中的梦一样，用户认为他们在自己的浏览器中，但是他们实际上是在浏览器中的浏览器中。“

次要问题

尽管费舍尔的发现对消费者来说并不是一个好消息，但它似乎是一个小问题，因为网页的真正URL最初会出现在地址栏中，位于网络安全软件制造商Malwarebytes的Mac&Mobile主管Thomas Reed指出在加利福尼亚州圣克拉拉市。

“这需要一组非常具体的用户行为才能使其变得有用，”他告诉TechNewsWorld。“不过，我可以看到有些人表现出这些行为，所以这肯定是一个问题。”

但是，“我不认为这是一个严重的威胁，因为用户在第一次访问网站时只需要注意URL栏，”Reed说。“老实说，我不认为这会得到很多用处，如果有的话。”

他指出，个人网络钓鱼可以更容易地使用同形异义攻击。在这种类型的攻击中，诈骗者获取域名并替换乍一看看起来像原始字符的字符。例如，零可以代替字母“O”，或者字母“l”代替字母。

科罗拉多州布鲁姆菲尔德的互联网安全公司Webroot的高级威胁研究分析师Cameron Palan表示，Fisher所描述的攻击是一种概念验证演示，而不是黑客工具箱中发现的东西。

“这不是在野外发现的攻击，如果Chrome快速更新，可能永远不会影响用户，”他告诉TechNewsWorld。

拥有Chrome的谷歌没有回应我们对这个故事发表评论的请求。

黑客的投资回报率低

总部位于加利福尼亚州坎贝尔的Barracuda Networks高级安全研究员Jonathan Tanner表示，这种网络钓鱼策略不太可能对消费者构成重大威胁。

“成功实施这项技术所需的技术能力和时间将使其不太可能被大量使用，谷歌 - 可能还有其他浏览器制造商 - 毫无疑问会更快地修补它，而不是它可能变得更快的速度。网络钓鱼页面很常见，“他告诉TechNewsWorld。

“我怀疑实施这种方法的回报是值得的，”他说。“这种技术不太可能导致用户被网络钓鱼的后续行动显着增加。”

瞻博网络是一家位于加利福尼亚州桑尼维尔的网络安全和性能公司威胁实验室负责人Mounir Hahad表示，与某些浏览器攻击不同，这一攻击并非基于漏洞。

“这很诡计，”他告诉TechNewsWorld。

“没有办法强制下载恶意内容，触发远程代码执行或任何恶意活动，”哈哈德说。

“这只是一个视觉技巧，可能会让一些人认为他们所在的网站不同于他们实际浏览的网站，”他继续道。

哈哈德指出，这种技巧不一定限于移动Chrome。“其他浏览器和其他操作系统有不同的实现，可能允许这种技巧的不太复杂的版本。”

消费者保护自己

虽然假地址栏攻击设计为隐身，但警报消费者可以识别它。

“当地图栏中的网站在向下滚动网页后意外地发生变化并且似乎没有按预期响应交互时，消费者可以识别出这种类型的攻击，”哈哈德解释道。

“点击栏进行测试，”Webroot的Palan补充道。“假的那个是不起作用的。而且，假酒吧上显示的当前标签的数量可能不会与你自己的标签相匹配。”

一旦用户开始向下滚动页面，将假浏览器与真实浏览器区分开来可能非常困难，Comparitech的隐私权倡导者Paul Bischoff指出，Comparitech是一家位于英国肯特郡梅德斯通的消费者安全产品评论，建议和信息网站。

“发现假货的最好方法是在向下滚动之前记下真实的页面网址，”他告诉TechNewsWorld。

消费者应该警惕导致登录屏幕的链接，Barracuda的Tanner建议。

“更好的是，手动输入您要登录的任何网站的完整且正确的URL。这应该足以让用户保护自己，”他建议道。

“虽然新颖，但这种攻击并不是特别重要，不会在野外使用太多，所以一般的安全措施就足够了，”Tanner补充道。

成长问题

如果伪造一个地址栏就像费舍尔描述的那样在网络钓鱼圈中流行，那将是一个异常现象。

“大多数网络钓鱼活动都与平台无关，”Bischoff说。“无论你是在手机还是台式机上遇到它们都没关系。”

Malwarebytes的Reed指出，网络钓鱼攻击在移动设备上非常普遍。

“然而，移动设备用户的一个优势是攻击者希望模仿大多数网站的应用程序的可用性，”他说。

“例如，如果你是美国银行的客户，你更有可能使用美国银行的应用程序，而不是移动设备上的美国银行网站，”里德指出。

“尽管如此，如果攻击者可以让移动用户点击链接，他们仍然可以捕获大量受害者，”他说。

康涅狄格州赫尔登的网络安全解决方案提供商CentripetalNetworks的威胁分析师Jonathan Olivera解释说，由于该领域的快速增长，对移动设备的网络钓鱼攻击可能正在上升。

他告诉TechNewsWorld，“糟糕的演员将始终关注拥有最多用户的领域。”

“移动平台和应用程序开发人员有动力生产尽可能多的产品以满足其用户群，”Olivera说，“这导致许多产品存在安全漏洞。”

标签： 移动Chrome