L'attacco "Inception bar" falsifica l'URL in Google Chrome

Lo sviluppatore James Fisher ha scoperto un nuovo attacco alla Barra degli indirizzi del browser web che potrebbe consentire di portare attacchi di phishing molto più difficili da rilevare. L'hack si chiama "inception bar" e consente a un sito di effettuare lo spoofing di un URL nella versione mobile di Chrome durante lo scorrimento, dando all'utente la falsa percezione di trovarsi su un determinato sito web quando, in realtà, ne ha davanti un altro

Come accadeva nel film "Inception" con Leonadro Di Caprio, così anche questo metodo di phishing cerca di "innestare" un'idea nel subconscio altrui, ovverosia la certezza di trovarsi su un determinato sito, quando invece in realtà l'utente si trova altrove.

Questo attacco sfrutta la funzionalità di Chrome che, su dispositivi mobili, nasconde automaticamente la barra degli indirizzi del browser durante lo scorrimento verso il basso, consentendo di vedere più contenuti. Un sito web potrebbe dunque disegnare una seconda barra fittizia tramite HTML e CSS che, riprendendo il design della barra originale, costituirebbe un tranello perfetto per far credere al visitatore di trovarsi su un dominio differente.

Così facendo, una pagina di phishing potrebbe copiare la grafica del sito di una banca e invitare l'utente a inserire le proprie credenziali. Ovviamente il ladro non avrebbe modo di forzare l'azione, ma la falsa barra degli indirizzi, capace di visualizzare il dominio del vero istituto di credito, aumenterebbe moltissimo il senso di confidenza del visitatore, incrementando le possibilità che la truffa vada a buon fine.

Ma quel che è peggio è che questo tipo di attacco è in grado di impedire che la barra reale riappaia, utilizzando ciò che James Fisher chiama "scroll jail". Così facendo, il sito-trappola blocca l'utente in una sorta di contenitore fittizio, con tanto di falso aggiornamento della pagina.