クレジット: PhotoMix Ltd. - Pexels
偽のログイン ページは、ユーザーからログイン資格情報をフィッシングする一般的な方法です。 Web サイトが正規に見えると、脳の記憶が働き、URL が正しい (または Web サイトが正規である) ことを確認せずにユーザー名とパスワードの入力を開始してしまいがちです。問題を複雑にすることは新しい問題であり、最近開発者によってプロファイルされましたジム・フィッシャーこれは、Web サイトが偽のアドレス バーを使用して、ユーザーが自分のいない場所にいると思わせることがいかに簡単かを示しています。
通常、アドレス バーの左側にある南京錠のアイコンを覗くと、Web サイトが本物かどうかがわかります。ただし、この小さなグラフィックを盲目的に信頼しないでください。フィッシング詐欺師は、モバイル Web ページで Chrome に南京錠アイコンを含む偽の URL バーを表示する方法を考案しているからです。そして置換 URL。この「インセプション バー」は、知られているように、ブラウジング ウィンドウの実際のアドレス バーを置き換えます。あまり注意を払っていない場合は、ブラウザが意図したとおりに動作していると考えるかもしれません。
このトリック全体が可能になるのは、モバイル版の Chrome ではページを下にスクロールすると UI が消えることがよくあり、Web サイト開発者が URL バーを含む UI が再表示されないようオーバーライドできるためです。フィッシャーは次のように説明しています。
これは悪いことですが、さらに悪化します。通常、ユーザーが上にスクロールすると、Chrome は実際の URL バーを再表示します。しかし、Chrome を騙して、本当の URL バーが再表示されないようにすることはできます。 Chrome が URL バーを非表示にしたら、ページのコンテンツ全体を「スクロール ジェイル」、つまり overflow:scroll を含む新しい要素に移動します。ユーザーはページ内を上にスクロールしていると思っていますが、実際にはスクロール ジェイル内で上にスクロールしているだけです。 『インセプション』の夢のように、ユーザーは自分が自分のブラウザーにいると信じていますが、実際にはブラウザー内のブラウザーにいるのです。
しかし事態はさらに悪化します!上記の「スクロール ジェイル」を使用した場合でも、ユーザーはジェイルの上部までスクロールできる必要があり、その時点で Chrome は URL バーを再表示します。しかし、この動作を無効にすることもできます。スクロール ジェイルの上部に非常に高いパディング要素を挿入します。次に、ユーザーがパディング内にスクロールしようとすると、コンテンツの先頭まで下にスクロールして戻ります。ページが更新されたようです。
クレジット: ジェームス・フィッシャー
Google はこの巧妙なコーディングの修正に取り組んでいます、しかし、これらの厄介なインセプションバーを明らかにするためのいくつかのトリックがまだあります。
Web サイトが通常は UI をブロックしている場合でも、Chrome アプリに UI を強制的に表示させることができます。 Chrome アプリが開いているときに携帯電話の画面をロックし、その後ロックを解除するだけです。これにより、Chrome アプリ ウィンドウがリセットされ、UI が表示されるようになります。 URL が偽の場合は、2 つの URL バーが表示されます。上部の URL が本物の URL、下部の URL が開始バーです。
複数のタブを開いて閲覧している場合は、タブ アイコンに表示される番号に注意してください。ここでは、インセプション バーに誤った数値が表示されることがよくあります。
Chrome Android の新しいダーク モードにより、インセプション バーも見つけやすくなります。いつダークモードが有効になっていますの場合、URL バーとその他の UI 要素は黒になるため、(偽の) 白い URL バーは見つけやすくなります。通常の Chrome モバイル UI テーマを使用していて偽の URL が黒の場合は、その逆も同様です。これは使用する場合にも当てはまりますリーダーモード、よりシンプルな UI モード、または URL バーの外観を変更する Chrome モバイルの代替テーマ。
