一种新的针对手机版Chrome的钓鱼方式:伪造浏览器地址栏

释放双眼,带上耳机,听听看~!
兄弟们五一快乐,这鸟先飞了

光从下面的图片,你们看出来了吗……测试的是qq浏览器。

没错,现在出来了一种新的钓鱼方式,通过伪造浏览器地址栏,并且随着滚动条的拖动,上面的浏览器地址栏会跟着拖动,和浏览器自带的地址栏一个效果!

当然,这是针对手机端的钓鱼方式,可以让用户感觉不到自己进来了一个钓鱼网站,因为你在滑动的过程感觉是进入了世界第七大银行汇丰银行的hsbc.com;实际上它是网站https://jameshfisher.com/2019/04/27/the-inception-bar-a-new-phishing-method/

但是,当您在ChromeforMobile上访问此页面并以某种方式滚动时,该页面可以显示为hsbc.com-更糟的是,这个页面可以在这个“假浏览器”里把你关起来!(我没装chrome,意思是真实浏览器地址会被隐藏掉?)在这篇文章中,我展示了攻击的工作原理,然后给出了Chrome解决这个漏洞的一些方法,最后向您展示了如果您仍然困在这里的话该如何摆脱攻击。但首先,证据是:

在ChromeforMobile中,当用户向下滚动时,浏览器隐藏URL栏,并将URL栏的屏幕空间交给网页。因为用户将这个屏幕空间与“值得信赖的浏览器UI”相关联,一个钓鱼网站就可以使用它作为一个不同的站点,通过显示它自己的假URL栏-初始条!

这很糟糕,但还会更糟。通常情况下,当用户滚动起来时,Chrome将重新显示真实的地址栏.但我们可以欺骗Chrome,使它永远不会重新显示真正的地址栏!一旦Chrome隐藏了地址栏,我们就会将整个页面内容移动到一个“滚动监狱”中-也就是说,一个新元素溢出:滚动。然后用户认为它们在页面中滚动,但实际上它们只是在滚动监狱中滚动!就像梦里启始,用户认为他们在自己的浏览器中,但实际上他们是在浏览器中的浏览器中。

但情况会更糟!即使上面的“滚动监狱”,用户应该能够滚动到监狱的顶部,届时Chrome将重新显示地址栏。但我们也可以阻止这种行为!我们在滚动监狱的顶部插入一个非常高的填充元素。然后,如果用户试图滚动到填充中,我们将其向下滚动到内容的开头!看起来像是页面刷新。

在我的概念证明中,我刚刚在汇丰的网站上截取了Chrome的URL栏,然后把它插入到这个网页中。只要付出更多的努力,页面就可以检测到它在哪个浏览器中,并为该浏览器构建一个起始条。通过更多的努力,可以使起始栏具有互动性。即使用户没有被当前页面愚弄,在用户在开始栏中输入“gmail.com”之后,您也可以再次尝试!

具体的代码实现请右键源代码查看,我已先开始五一假期了,手机打字过去蛋疼……

https://jameshfisher.com/2019/04/27/the-inception-bar-a-new-phishing-method/

欢迎下方长按识别二维码关注本公众号

更多情报和数据,请关注公众号,点击菜单栏,扫码加入知识星球

感谢您的关注和转发

右下角

朕已阅

本文源自微信公众号:黑鸟

人已赞赏
安全工具

一种能够绕过PayPal的双因素身份验证的安卓木马

2019-10-16 10:46:58

安全工具

Yikesnews第22期:ShadowBrokers组织的付费订阅模式开始—AES_NI勒索软件的解密程序—SMB蜜罐汇总

2019-10-16 10:47:02

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索