Digital Fraud

Falha no Google Chrome para celular cria fraude (quase) perfeita

Por André Luiz em
COMPARTILHAR

Seja no Google Chrome para celular ou desktop, a principal dica para se proteger de um ataque de phishing é olhar bem a URL. Mas parece que não para por aí… O desenvolvedor britânico James Fisher encontrou uma falha na versão mobile do navegador da Google que recria o campo da URL – e permite que a página falsa mostre exatamente o domínio verdadeiro do seu banco ou loja favorita. Esse é o tipo de ilusão que não dá para aplaudir, né?

 

Falha no Google Chrome para celular? Isso existe mesmo?


Infelizmente existe, mesmo que a Google tenha muitas preocupações  com  segurança  digital. Funciona assim: o golpista, basicamente, insere uma imagem fixa do campo da URL após o usuário começar a rolar a página para baixo.

Isso acontece pois, por padrão, o Google Chrome para celular retira a barra de URL da visualização quando você rola a página para baixo. E é aí que os cibercriminosos entram em cena: eles colocam uma imagem que simula o campo do domínio exato da página oficial que se pretende clonar.

Ao detectar essa nova (e, devemos admitir, espetacular) prática, Fisher simulou  a  fraude em seu blog usando o domínio do banco HSBC – e deu a ela o nome de Inception Bar:

FalhaGoogleChromeParaCelular

A Inception Bar. Será que a inspiração para o nome veio daquele filme com o Leonardo DiCaprio?

Olhando a página que Fisher fez de exemplo, o mais interessante é que a imagem se adapta de acordo com o tamanho do dispositivo, ficando exatamente igual à barra de URL original.

 

É possível se proteger de um phishing assim? Como?


Por se tratar de um golpe que acontece por meio de uma imagem, o macete mais óbvio para se proteger é prestar atenção no número de abas abertas: no exemplo, a imagem mostra o número 26.

Mas, claro, você poderia ter 26 abas abertas (bastante, hein?). Por isso, para descobrir o golpe é preciso puxar a tela para baixo a partir do “campo” da URL. Assim, a URL verdadeira vai aparecer:

InceptionBar

Voilà! Puxando a página para baixo do campo da “URL”, o endereço correto aparece.


Se você puxar a página para cima a partir do texto, nada acontece e o HSBC continua lá – a página nem mesmo atualizaria, como seria o esperado. Fisher batizou esse macete do desenvolvimento da página de scroll jail (em português, seria algo como “gaiola de rolagem”): é como se você estivesse navegando em um site que simula um outro site.

Aqui na Axur fazemos o monitoramento constante de phishings a partir da coleta automatizada de milhares de URLs. Por isso, se você tem interesse em ter a melhor proteção contra esses riscos digitais, uma boa dica é conhecer a solução Digital Fraud Discovery.

event-image

ESPECIALISTA CONVIDADO

Eduardo Schultze, Coordenador do CSIRT da Axur, formado em Segurança da Informação pela UNISINOS – Universidade do Vale do Rio dos Sinos. Trabalha desde 2010 com fraudes envolvendo o mercado brasileiro, principalmente Phishing e Malware

AUTOR

André Luiz

Estudante de Jornalismo da UFRGS e Content Creator na Axur. Por aqui, também já fiz parte da equipe de Brand Protection. E, claro, amo trabalhar com as possibilidades que a tecnologia nos oferece para a informação e para o conhecimento!