Fishing i padukshëm kërcënon shfletuesit e internetit
Studiuesi i sigurisë mr.d0x, i cili u bë i famshëm për metodën e sulmit në shfletues (BitB) që demonstroi në fillim të këtij viti, ka demonstruar tani një teknikë të re phishing në modalitetin e aplikacionit në shfletuesit e internetit të bazuara në Chromium.
Kjo mënyrë mund të abuzohet për të krijuar “aplikacione të vërteta phishing në kompjuter”.
Modaliteti i aplikacionit hap një faqe interneti në një dritare të veçantë të shfletuesit, duke shfaqur ikonën e faqes së internetit dhe duke fshehur shiritin e adresave.
Sipas mr.d0x, sulmuesi mund të shfaqë një shirit adresash të rreme në krye të dritares dhe t’i mashtrojë përdoruesit që të fusin informacionin e tyre në format e rreme të hyrjes.
“Megjithëse kjo teknikë është më shumë për phishing të brendshëm, ju mund ta përdorni teknikisht në një skenar të jashtëm phishing,” thotë mr.d0x. “Ju mund t’i dorëzoni këto aplikacione të rreme në mënyrë të pavarur si skedarë.”
Faqja e phishing, e kontrolluar nga sulmuesi, mund të mbyllë dritaren menjëherë pasi përdoruesi të futë kredencialet, ose të ndryshojë madhësinë dhe pozicionimin për të arritur efektin e dëshiruar.
Përveç Windows, mekanizmi i sulmit funksionon edhe në sisteme të tjera operative, si macOS dhe Linux, duke e bërë atë një kërcënim të mundshëm ndër-platformë. Megjithatë, suksesi i sulmit varet nga fakti që sulmuesi tashmë ka akses në kompjuterin e objektivit.
Për fat të mirë, Google po heq mbështetjen për aplikacionet Chrome në favor të teknologjive dhe standardeve të uebit Progressive Web App (PWA) dhe funksioni pritet të hiqet plotësisht në Chrome 109 ose më vonë për Windows, macOS dhe Linux.
Google tha se “funksioni –app ishte zhvlerësuar përpara se të publikohej ky hulumtim” dhe se potenciali i tij për abuzim duhet të konsiderohet në kontekstin e së ardhmes së tij.
