Истражувачот за безбедност mr.d0x, кој стана познат по методот на напад „прелистувач-во-прелистувач“ (BitB) што го демонстрираше претходно оваа година, сега демонстрираше нова техника за напад на фишинг во режим на апликација во веб-прелистувачите базирани на Chromium.
Овој режим може да се злоупотреби за да се создадат „реални апликации за фишинг на компјутери“.
Режимот на апликација стартува веб-сајт во посебен прозорец на прелистувачот, прикажувајќи ја иконата на веб-сајтот и криејќи ја лентата за адреси.
Според mr.d0x, напаѓачот може да прикаже лажна лента со адреси на горниот дел од прозорецот и да ги измами корисниците да ги внесат своите информации во лажни форми за најавување.
„Иако оваа техника е повеќе за внатрешен фишинг, технички можете да ја користите во сценарио за надворешен фишинг“, рече mr.d0x.
„Можете да ги испорачате овие лажни апликации независно како датотеки“.
Сајтот за фишинг, контролиран од напаѓачот, може да го затвори прозорецот веднаш откако корисникот ќе ги внесе ингеренциите или да ја промени големината и позиционирањето за да го постигне саканиот ефект.
Покрај Windows, механизмот за напад работи и на други оперативни системи, како macOS и Linux, што го прави потенцијална закана за повеќе платформи. Сепак, успехот на нападот зависи од фактот дека напаѓачот веќе има пристап до компјутерот на целта.
За среќа, Google постепено ја укинува поддршката за апликациите на Chrome во корист на технологиите за прогресивни веб-апликации (PWA) и веб стандарди, а функцијата се очекува целосно да биде отстранета во Chrome 109 или понова верзија за Windows, macOS и Linux.
Google рече дека „функцијата –app била застарена пред да биде објавено ова истражување“ и дека нејзиниот потенцијал за злоупотреба треба да се разгледа во контекст на нејзината иднина.