ช่องโหว่นี้ใน Chrome สำหรับ Android ช่วยให้ผู้โจมตีแบบฟิชชิ่งหลอกผู้ใช้ด้วยแถบที่อยู่ปลอม (07.07.24)
ในโลกของเบราว์เซอร์ Google Chrome เป็นผู้นำ – และด้วยเหตุผลที่ดี นอกจากจะใช้งานง่ายแล้ว Google Chrome ยังมีระบบนิเวศส่วนขยายที่เฟื่องฟู ชุดคุณลักษณะที่มีประสิทธิภาพ และมีเวอร์ชันสำหรับแพลตฟอร์มหลักเกือบทั้งหมด เนื่องจาก Chrome เป็นเบราว์เซอร์ที่ได้รับความนิยมสูงสุด นักพัฒนาซอฟต์แวร์ที่ชั่วร้ายบางคนอาจมองว่าเป็นช่องทางในการรับข้อมูลที่ละเอียดอ่อนจากผู้ใช้ที่ไม่สงสัย
มาเผชิญหน้ากัน คนส่วนใหญ่แทบจะไม่ตรวจสอบแถบที่อยู่ในเบราว์เซอร์เพื่อตรวจสอบความถูกต้อง เพื่อให้เลวร้ายยิ่งขึ้น Chrome สำหรับ Android จะซ่อนแถบที่อยู่หลังจากที่โหลดหน้าเว็บแล้ว ดังนั้น หากคุณไม่ได้ให้ความสนใจขณะท่องเว็บบนโทรศัพท์ โปรดระวังแถบที่อยู่ปลอมบน Android
ตามที่ James Fisher นักวิเคราะห์ด้านความปลอดภัยกล่าว มี Google Chrome ที่ล่วงเลยที่อาจทำให้ผู้โจมตีแบบฟิชชิง เพื่อติดตั้งแถบที่อยู่ปลอมบน Chrome สำหรับ Android และปกปิดแถบที่อยู่ของแท้
เคล็ดลับแถบที่อยู่ปลอมบน Android ถูกเปิดเผยฟิชเชอร์แสดงบนบล็อกของเขาว่าอาชญากรไซเบอร์สามารถทำให้เนื้อหาปรากฏราวกับว่าถูกโฮสต์บนเว็บไซต์ของ HSBC ซึ่งเป็นองค์กรที่มีชื่อเสียง
แฮ็กเกอร์ฟิชชิ่งจะทดสอบความตื่นตัวของผู้ที่อาจตกเป็นเหยื่อด้วยข้อความปลอม แถบที่อยู่ใน Chrome สำหรับ Android เพื่อให้การหาประโยชน์นี้สำเร็จ ผู้โจมตีอาศัยความเป็นไปได้ที่ผู้ใช้จะไม่สนใจหลังจากเลื่อนลงมา โดยปกติเมื่อคุณเลื่อนลงมาใน Chrome สำหรับ Android ส่วนบนสุดซึ่งมีปุ่มแท็บและแถบที่อยู่เว็บจะเลื่อนขึ้นจากมุมมองเพื่อให้มีพื้นที่ว่างมากขึ้นสำหรับหน้า
แถบเริ่มต้นตามที่ Fisher เรียก มันยังสามารถป้องกันไม่ให้คุณดูแถบที่อยู่จริงเมื่อคุณเลื่อนขึ้น ฟิชเชอร์เน้นว่าหากกลอุบายข้างต้นไม่หลอกผู้ใช้ ผู้โจมตีแบบฟิชชิ่งสามารถใช้องค์ประกอบการขยายที่ป้องกันไม่ให้ Chrome บน Android แสดงแถบที่อยู่เมื่อผู้ใช้เลื่อน โดยปกติ เมื่อผู้ใช้เลื่อนขึ้น Chrome สำหรับ Android จะแสดงแถบที่อยู่จริงอีกครั้ง
Fisher พบว่าหาก Chrome ไม่แสดงแถบที่อยู่ของแท้ ผู้โจมตีแบบฟิชชิ่งจะย้ายเนื้อหาทั้งหน้าไปยังคุกแบบเลื่อนได้ง่าย ผลลัพธ์ของการใช้ประโยชน์นี้คือหน้าเว็บภายในหน้าเว็บ เนื่องจากหน้าเว็บมีแถบเลื่อนของตัวเอง ผู้ใช้อาจถูกหลอกให้คิดว่ากำลังเลื่อนหน้าขึ้น แต่ในความเป็นจริง พวกเขากำลังเลื่อนขึ้นไปที่คุกเลื่อน
บางทีอาจเป็นเรื่องที่น่าเป็นห่วงมากกว่า เคล็ดลับแถบที่อยู่ปลอมบน Android คือผู้ใช้ไม่สามารถออกจากหน้าเว็บได้อย่างง่ายดายโดยไม่ต้องเข้าถึงแถบที่อยู่
จนถึงขณะนี้ ยังไม่มีรายงานกรณีที่ผู้ใช้สูญเสียข้อมูลที่ละเอียดอ่อนต่ออาชญากรไซเบอร์โดยใช้แถบฟิชชิง หลอกลวง แต่ตอนนี้ฟิชเชอร์ได้รายงานการบุกรุกแล้ว ผู้โจมตีเหล่านี้สามารถใช้เพื่อดำเนินการแคมเปญฟิชชิ่งขนาดใหญ่ได้
จะระบุแถบที่อยู่ปลอมใน Chrome สำหรับ Android ได้อย่างไรขณะที่เรารอ Google เพื่อเผยแพร่การอัปเดตที่ป้องกันการเทคโอเวอร์เบราว์เซอร์ดังกล่าว เราได้แนะนำกลยุทธ์หลายอย่างเพื่อช่วยให้คุณระบุแถบที่อยู่ปลอม:
- วิธีสังเกตที่มีประสิทธิภาพที่สุดวิธีหนึ่ง แถบที่อยู่ปลอมใน Chrome สำหรับ Android คือการล็อกสมาร์ทโฟนของคุณ จากนั้นปลดล็อก การทำเช่นนี้ เบราว์เซอร์ของคุณจะถูกบังคับให้แสดงแถบที่อยู่จริง และหากคุณกำลังเผชิญกับการโจมตีแบบฟิชชิ่ง คุณจะสังเกตเห็นแถบที่อยู่ปลอมด้านล่างแถบที่อยู่ของแท้ คุณสามารถดูแถบที่อยู่เหล่านี้ได้แม้ว่าคุณจะเลื่อนลงไปแล้วก็ตาม
- เคล็ดลับอีกประการหนึ่งที่คุณสามารถใช้เพื่อค้นหาเคล็ดลับแถบที่อยู่ปลอมบน Android คือการจับตาดูจำนวนที่แสดงในไอคอนแท็บเมื่อใช้ หลายแท็บ ที่นี่ แถบที่อยู่ปลอมจะแสดงตัวเลขที่ไม่ถูกต้อง
- โหมดมืดแบบใหม่ใน Chrome สำหรับ Android ทำให้ง่ายต่อการตรวจหาแถบที่อยู่ปลอม เมื่อเปิดใช้งานคุณลักษณะนี้ แถบที่อยู่ของแท้และองค์ประกอบ UI ทั้งหมดจะเปลี่ยนเป็นสีดำในขณะที่แถบที่อยู่ปลอมยังคงเป็นสีขาว ทำให้แยกแยะแถบที่อยู่ที่ถูกต้องออกจากแถบที่อยู่ปลอมได้ง่ายขึ้น
นอกจากเคล็ดลับข้างต้นแล้ว ยังต้องปกป้องโทรศัพท์ของคุณจากการโจมตีที่เป็นอันตรายอีกด้วย ใช้แอพบูสเตอร์ที่เชื่อถือได้เพื่อล้างขยะและปรับแต่งโทรศัพท์ของคุณเพื่อประสิทธิภาพสูงสุด เครื่องมือทำความสะอาด Android จะดูแลหน่วยความจำ ประสิทธิภาพ ความปลอดภัย และอายุการใช้งานแบตเตอรี่ของโทรศัพท์ ใช้แอปนี้เพื่อปกป้องข้อมูลที่ละเอียดอ่อนของคุณเมื่อเรียกดูบนโทรศัพท์ของคุณโดยใช้ Wi-Fi สาธารณะ
จุดที่ควรทราบคือการหาช่องโหว่นี้เป็นเพียงการพิสูจน์แนวคิดในตอนนี้ แต่พึงระลึกไว้เสมอว่าไม่มีสิ่งใดที่จะหยุดยั้งผู้โจมตีแบบฟิชชิงจากการใช้เวกเตอร์ดังกล่าวเพื่อรวบรวมข้อมูลจากผู้ใช้ที่ไม่สงสัยได้
ไม่นานมานี้ Fisher ได้หยิบยกประเด็นเกี่ยวกับนโยบายของ Google สำหรับที่อยู่ Gmail นโยบาย "จุดไม่สำคัญ" ทำให้เกิดช่องโหว่ที่นักต้มตุ๋นใช้สร้างบัญชี Gmail หลายบัญชีได้โดยใช้จุดพิเศษ แม้ว่า Google จะไม่แยกแยะจุดต่างๆ ในที่อยู่อีเมล แต่บริการออนไลน์อื่นๆ จะรับรู้ได้ เนื่องจากช่องโหว่นี้ นักต้มตุ๋นจึงหลอกเจ้าของบัญชี Netflix ได้หลายราย
Final ThoughtsGoogle ยังไม่ได้ออกคำตอบอย่างเป็นทางการสำหรับเคล็ดลับแถบที่อยู่ปลอมบน Android ดังนั้นจึงไม่มีข้อมูลว่าจะแก้ไขช่องโหว่เมื่อใด . อย่างไรก็ตาม เคล็ดลับข้างต้นจะช่วยให้คุณตรวจพบแถบที่อยู่ปลอมใน Chrome สำหรับ Android และปกป้องโทรศัพท์ของคุณจากการโจมตีที่เป็นอันตราย ไม่ว่าในกรณีใด การปกป้องตัวคุณเองจากการโจมตีแบบฟิชชิ่งทุกรูปแบบนั้นคุ้มค่า คุณควรระมัดระวังมากขึ้นทุกครั้งที่คุณท่องเว็บโดยใช้ Chrome สำหรับ Android อย่าลืมกลับมาดูบล็อกนี้เพื่อเรียนรู้เพิ่มเติมเกี่ยวกับวิธีปกป้องและเพิ่มประสิทธิภาพโทรศัพท์ของคุณเพื่อประสิทธิภาพสูงสุด
วิดีโอ YouTube: ช่องโหว่นี้ใน Chrome สำหรับ Android ช่วยให้ผู้โจมตีแบบฟิชชิ่งหลอกผู้ใช้ด้วยแถบที่อยู่ปลอม
07, 2024