מתקפות פישינג בדרך כלל כוללות ניסיונות הטעיה באמצעות קישורים שונים, ואתם וודאי יודעים להתגונן מהן באמצעות בדיקה של ה-Address Bar הוותיק והאהוב, שמסמן לכם אילו אתרים בטוחים ואילו לא. אז מה אם נגיד לכם שאתם כבר לא יכולים לבטוח ב-100% בבאר הזה? מפתח בשם ג’ים פישר מדגים כיצד בקלות הוא גורם לכם לחשוב שאתם באתר אחר לגמרי, למרות ששורת הכתובות תראה לכם שאתם באתר לגיטימי לחלוטין, וזה הרבה יותר יצירתי ומסוכן ממה שאתם חושבים.
נראה כמו הדבר האמיתי, אבל עשוי לסכן את המידע שלכם
פישר מכנה את הטריק הזה “Inception Bar”, כלומר באר שתול, וכמובן מחווה לסרט “התחלה”. כשאתם גוללים לתומכם באתר בכרום במובייל, הדפדפן מחביא את שורת הכתובות כדי לפנות לכם מקום לתוכן, אך פישר משתמש בתרגיל מבוסס קוד ועיצוב אתרים שבמהלכו הוא מציג שורת כתובות שנראית כמו הדבר האמיתי, אבל מציגה לכם אתר שונה לחלוטין, כך שאתם עשויים לחשוב שאתם באתר לגיטימי, בעוד שכרום לא מצליח להזהיר אתכם שאתם באתר זדוני. שורת הכתובות הפיקטיבית הזאת מציגה לכם אתר אחר, ואפילו את אייקון המנעול הירוק שמסמן לכם שהאתר “בטוח”.
בדרך כלל כשאתם מתחילים לגלול למעלה, שורת הכתובות המקורית אמורה לשוב, אבל פישר הוסיף אלמנט נוסף ש”כולא” את המשתמש בתוך אותו שטח שהדפדפן הקצה לאתר על חשבון שורת הכתובות המקורית, ואז לא תוכלו לדעת כלל שנלכדתם על ידי האתר. פישר אפילו הוסיף אלמנט נוסף שיגרום לכך שאפילו אם תעלו לתחילת העמוד, עדיין תראו את שורת הכתובות הפיקטיבית, ואפילו מוסיף אפקט שיגרום לכם לחשוב שריפרשתם את העמוד.
לרוב פירצות לא נחשפות לציבור, ובטח שלא כל אחד יכול לבדוק אותן, אבל פישר מאפשר לכם לחוות את הפירצה-ספק-חולשה הזאת בעצמכם: אם תכנסו לפוסט בבלוג של פישר בו הוא מסביר על הטריק (דרך כרום), ותגללו מעט למטה, תוכלו לשים לב ששורת הכתובות לפתע השתנתה ל-HSBC.com, חברה שאין לה ולו חצי קשר לפישר, אבל אתם עשויים לחשוב שאתם בטעות גולשים בו.
עוד ב-Geektime
עובד לשעבר בגוגל פיתח תוסף שמשדרג את העיצוב של ג׳ימייל
ללמוד מנטפליקס על Full Cycle: כנס ה-Fullstack הראשון בישראל ייערך בקרוב
פישר טוען שעם מעט יותר עבודה, כל אחד יכול להוסיף שורת קוד שתבדוק באיזה דפדפן המשתמש גולש כרגע כדי להתחזות אליו, ולהפוך אותו לאינטראקטיבי, כך שאם תעלו לשורת הכתובות הפיקטיבית ותזינו בה כתובת אתר אחר, הוא יוכל להפנות אתכם לעוד אתר פיקטיבי בו כבר תזינו עוד פרטים אישיים כמו פרטי חשבון הג’ימייל או אפילו את חשבון הבנק שלכם. בקיצור? זו בעיה לא פשוטה שכל מתכנת עם כמה דקות פנויות יכול לנצל כדי להפיל גם את הטובים ביותר בפח.
אין פתרון באופק
פישר מציע לגוגל כמה פתרונות בשביל להפוך את כרום ליותר בטוח מהמתקפה הזאת: הראשונה היא פשוט לא לאפשר לשורת הכתובות להעלם בשום שלב, מה שיגרע מהמקום המוקדש לתוכן שאתם קוראים. האפשרות השניה היא לשמור חלק קטן מעל החלק של שורת הכתובות (ידוע גם כ”קו המוות”), כדי שבמקרה של השתלטות עליה, המשתמש בתקווה יוכל לראות את שתי השורות ולחשוד שמשהו לא כשורה.
בינתיים, לצערנו, הדרך היחידה להתמודד עם הבעיה הזו היא לנעול ולפתוח את נעילת הטלפון שוב, מה שיכריח את כרום להציג את שורת הכתובות האמיתית מעל שורת הכתובות הפיקטיבית. פישר לא חושף האם הוא פנה לגוגל עם התגלית הזאת לקבלת תגובה, וניתן לשער שגוגל לא בהכרח רואה בכך “פירצת אבטחה”. אם ועד שגוגל תמצא פתרון לבעיה הזו, שימרו על עצמכם.