Раскрыты сведения о методе фишинга, позволяющем создать у пользователя иллюзию работы с легитимной формой аутентификации через воссоздание интерфейса браузера в области, выводимой поверх текущего окна при помощи iframe. Если ранее злоумышленники пытались обмануть пользователя  регистрируя похожие по написанию домены или  манипулируя параметрами в URL, то при помощи предложенного метода средствами HTML и CSS в верхней части всплывающего окна отрисовываются элементы, повторяющие интерфейс браузера, и в том числе заголовок  с кнопками управления окном и адресная строка, включающая адрес, не совпадающий с фактическим адресом содержимого...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=56889

• Фишинг через симуляцию интерфейса браузера во всплывающем ок...,flexagoon, 15:39 , 22-Мрт-22
  • Фишинг через симуляцию интерфейса браузера во всплывающем ок...,Аноним, 15:53 , 22-Мрт-22
  • Фишинг через симуляцию интерфейса браузера во всплывающем ок...,Аноним, 21:42 , 22-Мрт-22
  • Фишинг через симуляцию интерфейса браузера во всплывающем ок...,BorichL, 12:05 , 23-Мрт-22
• Фишинг через симуляцию интерфейса браузера во всплывающем ок...,Skullnet, 15:52 , 22-Мрт-22
  • Фишинг через симуляцию интерфейса браузера во всплывающем ок...,никто, 16:04 , 22-Мрт-22
    • Фишинг через симуляцию интерфейса браузера во всплывающем ок...,nvidiaamd, 17:10 , 22-Мрт-22
    • Фишинг через симуляцию интерфейса браузера во всплывающем ок...,Аноним, 20:42 , 22-Мрт-22
  • Фишинг через симуляцию интерфейса браузера во всплывающем ок...,Аноним, 16:14 , 22-Мрт-22
    • Фишинг через симуляцию интерфейса браузера во всплывающем ок...,Аноним, 16:47 , 22-Мрт-22
  • Фишинг через симуляцию интерфейса браузера во всплывающем ок...,Аноним, 16:56 , 22-Мрт-22
    • Фишинг через симуляцию интерфейса браузера во всплывающем ок...,Аноним, 20:48 , 22-Мрт-22
  • Фишинг через симуляцию интерфейса браузера во всплывающем ок...,Аноним, 17:12 , 22-Мрт-22
    • Фишинг через симуляцию интерфейса браузера во всплывающем ок...,Аноним, 17:30 , 22-Мрт-22
      • Фишинг через симуляцию интерфейса браузера во всплывающем ок...,keydon, 18:37 , 22-Мрт-22
      • Фишинг через симуляцию интерфейса браузера во всплывающем ок...,Аноним, 11:32 , 23-Мрт-22
        • Фишинг через симуляцию интерфейса браузера во всплывающем ок...,Kusb, 19:31 , 27-Мрт-22
          • Фишинг через симуляцию интерфейса браузера во всплывающем ок...,Kusb, 19:32 , 27-Мрт-22
  • Фишинг через симуляцию интерфейса браузера во всплывающем ок...,VladSh, 17:29 , 22-Мрт-22
    • Фишинг через симуляцию интерфейса браузера во всплывающем ок...,nvidiaamd, 23:12 , 22-Мрт-22
  • Фишинг через симуляцию интерфейса браузера во всплывающем ок...,Аноним, 21:05 , 22-Мрт-22
    • Фишинг через симуляцию интерфейса браузера во всплывающем ок...,Аноним, 11:35 , 23-Мрт-22
  • Фишинг через симуляцию интерфейса браузера во всплывающем ок...,Аноним, 23:24 , 22-Мрт-22
  • Фишинг через симуляцию интерфейса браузера во всплывающем ок...,Брат Анон, 07:59 , 23-Мрт-22
• Фишинг через симуляцию интерфейса браузера во всплывающем ок...,Аноним, 15:52 , 22-Мрт-22
  • Фишинг через симуляцию интерфейса браузера во всплывающем ок...,Аноним, 15:57 , 22-Мрт-22
  • Фишинг через симуляцию интерфейса браузера во всплывающем ок...,Аноним, 16:17 , 22-Мрт-22
    • Фишинг через симуляцию интерфейса браузера во всплывающем ок...,КО, 17:16 , 22-Мрт-22
    • Фишинг через симуляцию интерфейса браузера во всплывающем ок...,Аноним, 17:17 , 22-Мрт-22
      • Фишинг через симуляцию интерфейса браузера во всплывающем ок...,Хых, 18:40 , 22-Мрт-22
  • Фишинг через симуляцию интерфейса браузера во всплывающем ок...,Оно ним, 19:02 , 22-Мрт-22
• Фишинг через симуляцию интерфейса браузера во всплывающем ок...,никто, 16:14 , 22-Мрт-22
  • Фишинг через симуляцию интерфейса браузера во всплывающем ок...,nvidiaamd, 23:15 , 22-Мрт-22
• Фишинг через симуляцию интерфейса браузера во всплывающем ок...,Аноним, 16:17 , 22-Мрт-22
• Фишинг через симуляцию интерфейса браузера во всплывающем ок...,Аноним, 16:28 , 22-Мрт-22
• Фишинг через симуляцию интерфейса браузера во всплывающем ок...,Аноним, 16:54 , 22-Мрт-22
  • Фишинг через симуляцию интерфейса браузера во всплывающем ок...,Аноним, 18:16 , 22-Мрт-22
    • Фишинг через симуляцию интерфейса браузера во всплывающем ок...,keydon, 18:40 , 22-Мрт-22
  • Фишинг через симуляцию интерфейса браузера во всплывающем ок...,Аноним, 18:59 , 22-Мрт-22
    • Фишинг через симуляцию интерфейса браузера во всплывающем ок...,Брат Анон, 08:08 , 23-Мрт-22
• Фишинг через симуляцию интерфейса браузера во всплывающем ок...,Kuromi, 17:28 , 22-Мрт-22
  • Фишинг через симуляцию интерфейса браузера во всплывающем ок...,Аноним, 18:44 , 22-Мрт-22
    • Фишинг через симуляцию интерфейса браузера во всплывающем ок...,Аноним, 22:30 , 22-Мрт-22
  • Фишинг через симуляцию интерфейса браузера во всплывающем ок...,mikhailnov, 13:11 , 28-Мрт-22
• Фишинг через симуляцию интерфейса браузера во всплывающем ок...,Аноним, 17:47 , 22-Мрт-22
• Фишинг через симуляцию интерфейса браузера во всплывающем ок...,Аноним, 18:49 , 22-Мрт-22
  • Фишинг через симуляцию интерфейса браузера во всплывающем ок...,Аноним, 22:27 , 22-Мрт-22
• Фишинг через симуляцию интерфейса браузера во всплывающем ок...,Аноним, 18:51 , 22-Мрт-22
  • Фишинг через симуляцию интерфейса браузера во всплывающем ок...,Аноним, 20:45 , 22-Мрт-22
  • Фишинг через симуляцию интерфейса браузера во всплывающем ок...,Брат Анон, 08:09 , 23-Мрт-22
• Фишинг через симуляцию интерфейса браузера во всплывающем ок...,Рыбинский, 19:15 , 22-Мрт-22
• Фишинг через симуляцию интерфейса браузера во всплывающем ок...,А, 19:50 , 22-Мрт-22
• Фишинг через симуляцию интерфейса браузера во всплывающем ок...,Vacu923ek, 01:08 , 23-Мрт-22
• Фишинг через симуляцию интерфейса браузера во всплывающем ок...,Аноним, 06:50 , 23-Мрт-22
  • Фишинг через симуляцию интерфейса браузера во всплывающем ок...,Брат Анон, 08:12 , 23-Мрт-22
    • Фишинг через симуляцию интерфейса браузера во всплывающем ок...,Аноним, 08:40 , 23-Мрт-22
• Фишинг через симуляцию интерфейса браузера во всплывающем ок...,fuggy, 14:03 , 23-Мрт-22
• Фишинг через симуляцию интерфейса браузера во всплывающем ок...,Аноним, 20:36 , 23-Мрт-22
  • Фишинг через симуляцию интерфейса браузера во всплывающем ок...,Аноним, 23:03 , 23-Мрт-22
    • Фишинг через симуляцию интерфейса браузера во всплывающем ок...,Аноним, 23:26 , 23-Мрт-22
    • Фишинг через симуляцию интерфейса браузера во всплывающем ок...,Аноним, 23:28 , 23-Мрт-22
      • Фишинг через симуляцию интерфейса браузера во всплывающем ок...,Аноним, 23:31 , 23-Мрт-22
  • Фишинг через симуляцию интерфейса браузера во всплывающем ок...,Аноним, 08:54 , 24-Мрт-22
• Фишинг через симуляцию интерфейса браузера во всплывающем ок...,Аноним, 02:41 , 24-Мрт-22
  • Фишинг через симуляцию интерфейса браузера во всплывающем ок...,Аноним, 02:46 , 24-Мрт-22
    • Фишинг через симуляцию интерфейса браузера во всплывающем ок...,Аноним, 03:49 , 24-Мрт-22
      • Фишинг через симуляцию интерфейса браузера во всплывающем ок...,Аноним, 03:52 , 24-Мрт-22
  • Фишинг через симуляцию интерфейса браузера во всплывающем ок...,ШВИМ, 15:50 , 25-Мрт-22
• Фишинг через симуляцию интерфейса браузера во всплывающем ок...,_medeukhan_, 19:36 , 06-Дек-22
• Фишинг кокой открой,_medeukhan_, 19:37 , 06-Дек-22

Способу уже несколько лет минимум, что они там "раскрыли"?

На третий год Капитан Очевидность спалил вебмакак...

А подделка запроса мастер-пароля делается?

Ну вообще-то несколько десятков лет. Так ещё на СМ-1420 развлекались.

Вопрос: как с этим бороться?

поставить уникальную тему в броузер, так чтобы строка урла была размалёвана. если увидишь окно броузера и урл не размалёван - значит фейк.

Есть готовые css для этого? Не поделишься?

Размажь строку урла так, что сам не будешь понимать на каком ты сайте

Не пользоваться
> macOS и Windows

>>> Исследователь, обративший внимание на проблему, опубликовал готовый набор макетов, симулирующих интерфейс Chrome в тёмных и светлых темах оформления для macOS и Windows.
> Не пользоваться
>> macOS и Windows

Это поможет лишь до окончательного перехода на CSD и полной "унификации" отрисовки браузерных виджетов.

1 Смотреть на УРЛ сайта. Это поможет не попасть на сайт, из которого открывается левый айфрейм.
2 Не регаться через гугл/яндекс/майкрософт и т д. Регаться по логину и уникальному паролю. В случае если попадёте на такой вот развод, то утечёт пароль только от одного единственного ресурса, а не от гугла = от всех аккаунтов.

> 1 Смотреть на УРЛ сайта. Это поможет не попасть на сайт, из которого открывается левый айфрейм.

Вы точно читали, видели как оно работает?

Вы видите "полное" окно "браузера" с "правильным" URL.

// b.

Использовать тайловые WM, как и дóлжно профессионалам, и на жалкие попытки показать висячее окошко просто смеяться в голос.

Детей воспитывать, что красть и воровать некрасиво?

Конечно, а то станут ещё президентами, придётся на могилу флаг устанавливать чтобы не оплювали.

Это не работает.

Работает, просто не идеально.

Но...

Не вводить пароль к гуглу и т.д. на сторонних сайтах.
То есть:
1. Заходим на страницу гугла и вводим пароль.
2. Переходим на страницу сайта, которая требует авторизироваться, и просто обновляем её. Если всё норм, сайт должен понять, что ты уже залогинен, и можно писать комменты. Если нет, то до свидания этому сайту.
Ну а вообще лучше вообще не лазить на левых сайтах, тем более логиниться.

> Ну а вообще лучше вообще не лазить на левых сайтах, тем более логиниться.

А что ты тут тогда делаешь?

Заставить разрабов браузера (давно уже одного единственного) делать красный бордер во всех ifram'ах

Они что, по-твоему благотворительностью должны заниматься?

Отключить iframe.

У меня в кедах кнопки управления окном разнесены по разным сторонам. Удачи повторить этим фишерам.

А как от этого защищаться?

F12 и смотреть с какого хоста грузится форма.

Отключить JavaScript.

А впрочем, ничего нового.
Работаешь по белым спискам и антивирь можно выкинуть.

Отключить компьютер.

Отключить электричество.

Отключить все, чего не было в плиоцене.

Чтобы жить на деревьях нужно обратно хвосты отрастить. Поэтому лучше сразу вернуться в океан.

Пользоваться файрфоксом. Он не позволяет отключать адресную строку в iframe.

по ходу, простые пользователи от этого ни как не защитятся. это нужно чтобы в броузере можно было насильно запретить отключение элементов броузера. в ФФ я такой опции не вижу в простых настройках

Ну... я через noscript запретил все iframe

Видел много раз такое, всегда палятся на шрифтах, размерах и тысяче мелких деталей. Достаточно кастомизировать любой элемент оформления.

Arch. Chromium 99 и ungoogled тоже. Первая ссылка/закладка/адрес после запуска браузера не открывается (как бы проглатывается, вкладка остаётся пустой), а иногда блокируется uBlock Origin. У всех так? Или мне очень повезло? (:

Посмотрев сколько весит десктопная стартовая страница Youtube, просто ужаснулся. Ведь сколько лишнего в коде. Из этого можно сделать вывод: Web стал большой помойкой и главным инструментом для взлома.  

Это они её ещё вроде пару лет назад облегчали и оптимизировали

А ещё до этого лет ~8 назад.

Зато жыес позволяет не обновлять каждый раз страницу, поэтому без жыеса никак! Ой, всё равно приходится, ну это другое.

Открою тебе страшную тайну: чтобы обновить конкретный элемент веб-интерфейса не надо было придумывать жабоскрипт. Можно было сделать проще.

Подобному методу столько лет, что еще не так давно они симулировали окна в классической теме Windows, как в Win2000. Это всегда было неимоверно забавно наблюдать когда подобное "окно" показывалось на системе с Линуксом. Но признаю - порой смотрится весьма убедительно.

Эксперты с opennet, а по факту задр-ты из сферы ИТ, не понимают одно: у 99% PC пользователей стоят совершенно стандартные Windows/MacOS, и эта атака отлично работает.

То, что у вас всякие Линуксы и прочая пое*нь, на которую вы тратите месяцы жизни, никого не волнует - вы не аудитория этой атаки.

Я не знаю как это можно решить - единственным способом кажется отказ от browser pop-up window и аутентификация в полном окне/вкладке - т.е. на стороне браузера это невозможно решить.

// b.

> вы не аудитория этой атаки

И это хорошо :)

Отправьте SMS, чтоб удалить вирусы, черви и трояны

Щас бы в 2022 году от рождества Христова заниматься фишингом на рабочем столе.

wget+vim умвр

точно :)

Выход - пользоваться Win7. Никто не допрет прикрутить к этой хрени Aero и сразу же спалится на этом.

NVIDIA GeForce RTX 20/30 и GTX 16 не имеют драйверов для Windows 7, но шутка отличная.

Я уже молчу, что ОСь снята с поддержки больше 2 лет. ESU есть, но это изврат, стоит конских денег и заканчивается через полгода.

// b.

Т. е. вариант с "установить тему оформления на Линукс" не рассматривается в принципе?

Можно юсер-агент для другого браузера отправлять и палить, если интерфейс не сходиться

Самое противное, что результат был очевиден. Выкидывать бы надо весь ваш активный веб.

Не столь уж и полезный бизнес для обычного человека. Я не про доходность.

Веб давно идёт к тому, чтобы отрубить у6людочный JS! И только туnые хомячки радостно вкорячивают свои реакты, чтобы килобайтная страница отображалась мегабайтом скриптов.

Это синдром винды. Заключается в том, что чем больше удобств, тем фиговее безопасность. Мое мнение - я никогда не любил вэб за его костыльность. Сначала появился HTML, потом чтобы генерить его на ходу к нему прикостылили PHP, потом для интерактивности прикостылили JS. В итоге получили монструозные браузеры, которые настолько сложны, что разработать их могут только очень крупные компании, которые взяли их под свой контроль и практикуют диктат и цифровое рабство. А смысл то какой? Получить в итоге web-приложение? Дык а нельзя было проще?

Всё давно уже придумано. Терминал, иксы, РДП. Но ты же не сделал как правильно, а теперь сидишь на удобном диванчике и возьмущаешься

Что то типа того, но проще. Нужен единый фрэймворк. Такой, чтобы фронтэнд с бэкэндом были единым целым. Совсем избежать явного указания того, что будет на клиентской стороне, а что на серверной, конечно наверное не удастся. Но хотя бы можно будет избежать этого садо-мазо с JS и разработкой вэб приложений по сути на 4 разных языках сразу. Такой, чтобы клиентская часть была 100% стандартной и намного проще браузеров. Такой, чтобы было гораздо больше контроля за ее поведением. А не как сейчас, когда NoScript по сути маст хэв.

Ну и конечно аналог уже есть. Есть ведь мобильные приложения. Но проблема в том, что им нельзя доверять, т.к. в них гораздо больше возможностей для шпионской деятельности, чем в браузере. Привязка к единому аккаунту, всякие рекламные ID и т.д. А потому я например стараюсь пользоваться именно вэб-версиями сервисов, а не соответствующими мобильными приложениями, даже если это менее удобно.

В Firefox я так понимаю не работает. Выходит лучшая защита. Ещё в Firefox можно поставить тему с рисунком фона.
А вообще достаточно посмотреть в панели задач, если это реальное окно, оно будет там отображаться.

https://privacytests.org/

А почему бравый в первом столбце? Или там, кто последний тот и папа!

Сами протестируйте https://github.com/arthuredelstein/privacytests.org/tree/mas...
firefox будет скоро как brave

Они в алфавитном порядке

ОК

О круто. У LibreWolf в топе. Значит не зря пользуюсь. Я только защиту от отпечатков отключил, т.к. ну не настолько я параноидальный, но вместо нее вкарячил CanvasBlocker, так что все ок.

Сейчас интересно на loveplanet жеский диск рабочим зачем то насилуют. Скрипит жутко - попробуйте зарегестрируйтесь

Что они там сканируют? По звуку как сердцебиение

Ставьте HDD и все слышно кто вас хочет взломать

Кеш отключен че они хотят? Нафиг так жесткий драть? Первый раз с таким сталкиваюсь.

Chia майнят на куках %)))

Кокой фишинг

Фишинг кокой открой