Em uma postagem de blog de prova de conceito (PoC) publicada no início desta semana, o desenvolvedor James Fisher divulgou um novo método de phishing no Chrome for mobile no Android, no qual o navegador oculta a barra de URL.
Depois de ocultar a barra de URL, o navegador "passa o espaço de tela da barra de URL para a página da web. Como o usuário associa esse espaço de tela a uma "UI confiável de navegador", um site de phishing pode usá-lo para se passar por um site diferente, exibindo sua própria barra de URL falsa - a barra inicial", escreveu Fisher.
“Na minha prova de conceito, acabei de ver a barra de URL do Chrome no site do HSBC e inseri-a nessa página da web. Com um pouco mais de esforço, a página pode detectar em qual navegador está e criar uma barra de início para esse navegador. Com ainda mais esforço, a barra inicial poderia ser interativa. Mesmo que o usuário não seja enganado pela página atual, você pode fazer outra tentativa depois que o usuário inserir "gmail.com" na barra de início!"
Ainda assim, o post de Fisher obteve uma variedade de respostas no Twitter, com vários notando que eles não conseguem fazer com que o PoC trabalhe no Chrome.
The inception bar: a new phishing method https://t.co/8QLtjwacmm
— James Fisher (@MrJamesFisher) 27 de abril de 2019
"Embora a prova de conceito de Fisher não seja perfeita, o Google e outros devem considerar a implementação de técnicas de mitigação como a Linha da Morte para tornar mais óbvia a demarcação entre o navegador e o conteúdo da web", disse Gavin Millard, vice-presidente da Fisher Inteligence, Tenable.
"Os usuários se apegam constantemente a sites falsos, daí o contínuo flagelo dos sites de phishing, mas essa nova abordagem poderia enganar até mesmo os indivíduos mais cibercriminosos. Explorá-los poderia levar à divulgação de informações confidenciais e fraudes."
Um porta-voz do Google disse: "Proteger os usuários contra phishing sempre foi importante para nós. Estamos constantemente aprimorando soluções mais completas para phishing, como a Navegação segura, as chaves de segurança e o gerenciador de senhas do Chrome. Nossa equipe está ciente desse problema e continua a explorar soluções".
