É uma temática recorrente. Há uma nova ameaça, um novo método de phishing que pode espalhar-se pela internet e visar sobretudo o browser Google Chrome. Ainda que a maioria das ameaças incida sobretudo na versão Web, há agora um novo esquema que pode visar os smartphones e dispositivos Android.
Já não basta verificar o endereço de URL de uma determinada página para apurar a sua credibilidade…
Com efeito, já não basta consultar a barra de endereços para ver se estamos a visualizar uma página real, ou um engodo. Há agora um novo potencial scam, uma forma de atrair o utilizador incauto para que uma terceira parte leve acabo um ataque de phishing. Por norma, com o intuito de roubar dados e informações sensíveis.
O Google Chrome está na mira deste novo ataque de phishing
A descoberta foi feita pelo programador britânico James Fisher. De acordo com o seu testemunho, esta falha de segurança pode ser facilmente explorada por mentes mal intencionadas, por outras palavras, hackers. Mas, afinal no que consiste este novo perigo, recém-descoberto, para o browser Google Chrome?
Sucintamente, é possível fazer com que a barra de endereços URL apresente um URL não real. Isto é, o endereço apresentado pode não coincidir com o verdadeiro endereço da página. Desta forma, cria-se uma oportunidade enorme para que seja implementado um novo scam, um novo ataque de phishing.
The inception bar: a new phishing method https://t.co/8QLtjwacmm
— James Fisher (@MrJamesFisher) April 27, 2019
Imagine, por exemplo, que podia criar um website e alterar o seu nome (URL) para que este coincida ou replique o de uma conhecida instituição bancária. Imagine que desenvolve toda uma página idêntica, até ao mais completo pormenor, ou pelo menos o suficiente para confundir, e principalmente, enganar o utilizador.
Até agora, era relativamente simples detetar uma página falsa ao atentar no endereço de URL similar a uma página real. Infelizmente, existe uma forma de inserir um endereço conhecido e fidedigno, numa qualquer página, criada com um qualquer intuito.
Uma séria lacuna no Google Chrome para Android
Desta forma poderá, por exemplo, recolher as credenciais do mesmo. Com dados sensíveis como as palavras-passe, nomes de utilizador, matrizes de confirmação, entre outros. Pois bem, é exatamente isto que James Fisher descreveu, uma lacuna presente no browser Google Chrome para dispositivos móveis Android.
Ao mesmo tempo, importa frisar que, até ao momento, não existem vítimas. Contudo, se não fosse o seu alerta, esta crassa lacuna poderia ter sido descoberta por alguém menos escrupuloso. Aí mesmo, reside o perigo, ao ser possível dissimular ou forjar completamente um URL, fazendo-o passar por autêntico.
Para ilustrar a gravidade da lacuna, o programador “mascarou” o seu site pessoal como um dos maiores bancos do mundo. Com efeito, podemos ver na imagem acima um endereço pertencente ao banco HSBC do reino unido. Aparentemente, não vemos qualquer sinal de que este seja um endereço falso “www.hsbc.com”.
O potencial de phishing da “Inception bar” no Chrome para Android
Uma barra dentro de uma barra. A nomenclatura inspirada na produção de Hollywood e estrelada por Leonard DiCaprio acabou por batizar este scam hipotético. Ainda assim, esta já não é a primeira instância em que este tipo de falha é detetado. Aliás, existe até um nome para os possíveis ataques a partir deste tipo de lacunas.
As “linhas da morte” colocam o utilizador “preso” dentro do browser. O mesmo vai fazendo scroll, sem se aperceber que continua na mesma página. Para tal, o hacker tem que colocar uma seção em branco para impedir que o Google Chrome volte a apresentar o topo da página. Isto é, mesmo se quiser fazer um refresh da página, ser-lhe-á apresentada uma simulação disso mesmo (o recarregamento da página) para o enganar.
Nice post, and demonstration! It's not a new attack though… it's called a "picture in picture attack" https://t.co/0j99IQm0uG
— Christopher Lemmer Webber (@dustyweb) April 28, 2019
O programador afirma ainda que este cabeçalho de topo, estando em branco, pode ser aproveitado para outros fins igualmente desonestos. Por exemplo, tornar a porção de topo em algo interativo. Uma seção onde, por exemplo, pode ser convidado a consultar os dados do seu banco, sendo-lhe fornecido o local para tal.
Para já é apenas uma hipótese
Ainda que não existam casos ou relatos do aproveitamento desta lacuna, certo é que ela existe. Assim sendo, urge agora uma solução por parte da tecnológica de Mountain View, antes que tal possa ser aproveitado por hackers, sobretudo agora que o caso foi amplamente divulgado.
A Google não comentou a situação mas acolheu o testemunho de James Fisher.