A barra de endereços é de extrema importância em um navegador. Ela dá os primeiros sinais de que um site é confiável ou não. Sabendo disso, cibercriminosos podem aplicar golpes com barras de endereços falsas no Chrome e em outros navegadores para Android e iOS.
É o que aponta o desenvolvedor Jim Fisher, que demonstrou como o Chrome e outros navegadores para dispositivos móveis podem ser vulneráveis à prática de phishing. Em celulares e tablets, os navegadores costumam ocultar a barra de endereços conforme você rola a página.
Aproveitando-se desse comportamento, cibercriminosos são capazes de criar uma barra própria com o endereço que desejarem. Após a barra do navegador ficar oculta, é possível passar a exibir uma barra muito parecida à verdadeira, enganando os usuários menos atentos.
Em seu exemplo, Fisher fez com que seu site exibisse a URL “hsbc.com” ao lado dos ícones de cadeado e de número de abas abertas no Chrome. Ele usou apenas uma imagem para demonstração, mas um trabalho mais apurado poderia resultar até mesmo em uma barra interativa.
Os autores do golpe podem, ainda, impedir o retorno ao topo da página e, consequentemente, a exibição da barra verdadeira. Com uma propriedade de CSS (overflow: scroll), é possível fazer a vítima ter a impressão de que está rolando a página completa, quando na verdade está movendo apenas um trecho dela. Basicamente, o usuário está rolando uma janela dentro de outra janela.
Ainda que a vítima tente chegar, de fato, ao topo da página, os responsáveis pelo golpe podem criar uma espécie de margem entre o topo da janela e o texto. Quando ela chega a um determinado ponto da margem, a página retorna à área do texto, dando a entender que foi atualizada.
Fisher considera a possibilidade do golpe como uma falha de segurança do Chrome. Ainda que não se trate de uma brecha convencional, ele acredita que o navegador poderia realizar mudanças para evitar que usuários se confundam com as barras de endereço.
Uma saída seria exibir uma sombra no topo da página para indicar que a barra de endereços verdadeira está oculta. O desenvolvedor lembra, ainda, que com um código mais elaborado seria possível adaptar o visual da barra falsa de acordo com o navegador.
“Posso imaginar essa técnica enganando usuários que são menos conscientes disso e que são menos instruídos tecnicamente”, afirma. “O único momento que o usuário tem a oportunidade de verificar a URL verdadeira é no carregamento da página, antes de rolar a página. Depois disso, não há muita fuga”.
Nenhum comentário:
Postar um comentário