Tem novo golpe na área, e esse é focado em usuários do Google Chrome para mobile — tanto iOS quanto Android.
James Fisher foi quem descreveu tudo em seu blog: resumidamente, o ataque de phishing consiste em carregar um site com uma URL qualquer e, assim que a pessoa começa a rolar a página, incluir uma barra de endereços falsa no topo aproveitando o fato de o Google Chrome esconder a sua nativa quando a rolagem é iniciada.
No exemplo abaixo, perceba que o site quando carregado está sob o domínio jameshfisher.com
, mas logo depois que a rolagem inicia-se, uma nova barra assume o seu lugar dando a impressão de que o usuário está navegando em hsbc.com
(ótimo exemplo, já que muitos desses ataques miram mesmo bancos).
Claro que usuários atentos/experientes logo notariam algo de errado no comportamento, bastando também tentar usar algum dos botões de menu da barra falsa para perceber que nada funcionaria. Ainda assim, não deixa de ser preocupante.
Fisher alerta, inclusive, que não seria difícil para crackers realmente mal-intencionados personalizarem o código de tal forma que a barra verdadeira nunca mais seja mostrada após a primeira rolagem iniciar (e usando só CSS). Ou seja, ela só apareceria no momento em que a página terminasse de carregar, antes de qualquer rolagem.
O Google ainda não comentou a falha, mas certamente terá que bolar alguma forma de impedir isso no futuro. Fiquem atentos!
via Engadget