Chrome for Androidのこの抜け穴により、フィッシング攻撃者は偽のアドレスバーでユーザーをだますことができます (07.07.24)
ブラウザの世界では、Google Chromeがトップであり、それには正当な理由があります。使いやすさに加えて、Google Chromeには、活発な拡張エコシステム、堅牢な機能セットがあり、ほぼすべての主要なプラットフォーム用のバージョンがあります。 Chromeが最も人気のあるブラウザであるため、一部の悪意のある開発者は、Chromeを無防備なユーザーから機密情報を取得する手段と見なす可能性があります。
それに直面しましょう。ほとんどの人は、ブラウザのアドレスバーの信頼性をほとんどチェックしていません。さらに悪いことに、Chrome for Androidは、ページが読み込まれた後、アドレスバーを非表示にします。したがって、携帯電話でブラウジングしているときに注意を払っていない場合は、Androidの偽のアドレスバーに注意してください。
セキュリティアナリストのジェームズフィッシャーによると、フィッシング攻撃者を許可する可能性のあるGoogleChromeの失効があります。 Chrome for Androidに偽のアドレスバーをインストールし、本物のアドレスバーを隠すため。
Androidの偽のアドレスバートリックが公開されましたフィッシャーはブログで、サイバー犯罪者がコンテンツを評判の良い組織であるHSBCのウェブサイトでホストされているように見せかける方法を示しました。
フィッシングハッカーは潜在的な被害者の警戒心を偽物でテストしますChrome forAndroidのアドレスバー。このエクスプロイトが成功するために、攻撃者は、ユーザーが下にスクロールした後に注意を払っていない可能性に依存しています。通常、Chrome for Androidで下にスクロールすると、タブボタンとアドレスバーがある最上部のセクションがビューから上にスライドして、ページのスペースが増えます。
フィッシャーが言うように、開始バーまた、上にスクロールしたときに実際のアドレスバーが表示されない可能性もあります。フィッシャーは、上記のトリックでユーザーを騙さない場合、フィッシング攻撃者は、ユーザーがスクロールしたときにAndroid上のChromeがアドレスバーを表示しないようにするパディング要素を使用する可能性があると強調しました。通常、ユーザーが上にスクロールすると、Chrome forAndroidは実際のアドレスバーを再表示します。
フィッシャーは、Chromeに本物のアドレスバーが表示されない場合、フィッシング攻撃者がページのコンテンツ全体をスクロール刑務所に移動するのは簡単であることを発見しました。このエクスプロイトの結果は、Webページ内のWebページです。ウェブページには独自のスクロールバーが含まれているため、ユーザーは、実際にはスクロールジェイルを上にスクロールしているときに、ページを上にスクロールしていると思われる可能性があります。
おそらく、 Androidでの偽のアドレスバーのトリックは、ユーザーがアドレスバーにアクセスせずにWebページを簡単に離れることができないことです。
これまでのところ、ユーザーがこのバーフィッシングを使用してサイバー犯罪者に機密情報を失うという報告はありませんトリックですが、Fisherがこのエクスプロイトを報告したため、これらの攻撃者はそれを使用して大規模なフィッシングキャンペーンを実行する可能性があります。
ChromeforAndroidで偽のアドレスバーを見つける方法は?このようなブラウザの乗っ取りを防ぐアップデートがGoogleからリリースされるのを待つ間、偽のアドレスバーを見つけるのに役立ついくつかの戦略を提案しました。
- 最も効果的な発見方法の1つChrome for Androidの偽のアドレスバーは、スマートフォンをロックしてからロックを解除することです。これを行うことにより、ブラウザは実際のアドレスバーを表示するように強制されます。また、フィッシング攻撃に直面している場合は、本物のアドレスバーの下に偽のアドレスバーがあります。下にスクロールしても、これらのアドレスバーを表示できます。
- Androidで偽のアドレスバーのトリックを発見するために使用できるもう1つのトリックは、タブアイコンに表示されるカウントを注意深く監視することです。複数のタブ。ここでは、偽のアドレスバーに誤った数値が表示されます。
- Chrome for Androidの新しいダークモードにより、偽のアドレスバーを簡単に検出できるようになりました。この機能を有効にすると、正規のアドレスバーとすべてのUI要素が黒になり、偽のアドレスバーは白のままになり、正規のアドレスバーと偽のアドレスバーを簡単に区別できるようになります。
上記のヒントに加えて、悪意のある攻撃から携帯電話を保護することも重要です。信頼性の高いブースターアプリを使用して、ジャンクを一掃し、最高のパフォーマンスを得るためにスマートフォンを最適化します。 Androidクリーナーツールは、スマートフォンのメモリ、パフォーマンス、セキュリティ、電池寿命を管理します。このアプリを使用して、公共のWi-Fiを使用して携帯電話で閲覧するときに機密情報を保護します。
このエクスプロイトは、現時点では概念実証にすぎないことに注意してください。ただし、フィッシング攻撃者がそのようなベクトルを使用して、疑いを持たないユーザーから情報を収集することを妨げるものは何もないことに注意してください。
少し前に、フィッシャーはGmailアドレスに関するGoogleのポリシーに関する問題を提起しました。 「ドットは関係ありません」ポリシーは、詐欺師が追加のドットを使用して複数のGmailアカウントを作成するために使用できる抜け穴を示します。 Googleはメールアドレスのドットを区別しませんが、他のオンラインサービスはそれらを認識します。この抜け穴のために、詐欺師は複数のNetflixアカウント所有者を罵倒しました。
最終的な考えGoogleはAndroidの偽のアドレスバートリックに対する公式の回答をまだ発行していないため、抜け穴がいつ修正されるかについての情報はありません。 。それでも、上記のヒントは、Chrome for Androidで偽のアドレスバーを見つけて、悪意のある攻撃からスマートフォンを保護するのに役立ちます。いずれにせよ、あらゆる形態のフィッシング攻撃から身を守ることにはメリットがあります。 Chrome for Androidを使用してウェブを閲覧するときは、さらに注意する必要があります。最高のパフォーマンスを得るためにスマートフォンを保護および最適化する方法の詳細については、このブログをもう一度確認してください。
YouTubeのビデオ: Chrome for Androidのこの抜け穴により、フィッシング攻撃者は偽のアドレスバーでユーザーをだますことができます
07, 2024