wechatimg121218

微软 Edge 浏览器恶意网站警告页面可被伪造用于诈骗

  • 浏览次数 17275
  • 喜欢 0
  • 评分 12345

外媒报道,技术型诈骗分子可以利用微软 Edge 浏览器 ms-appx 协议漏洞,伪造恶意网站警告页面进行欺诈活动。

ms-appx 和 ms-appx-web 方案可以引用来自应用包的应用文件。这些文件通常为静态图像、数据、代码和布局文件。

当 Edge 浏览器检测到打开可疑的恶意网站时会出一个红色的警告页面“SmartScreen”。

ms-appx-web://microsoft.microsoftedge/assets/errorpages/PhishSiteEdge.htm

47982435738976

研究员 Manuel Caballero 称,诈骗分子可以利用漏洞创建一个伪造的警告页面,通过改变 URL 字符并附加哈希值内容伪装成合法的站点,显示文字警告并替换联系电话为诈骗电话。

window.open(“ms-appx-web://microsoft.microsoftedge/assets/errorpages/BlockSite%2ehtm?”+ “BlockedDomain=facebook.com&Host=Technical Support Really Super Legit CALL NOW\:”+ “800-111-2222#http://www.facebook.com”);

受害者只需点击电话号码链接即可非常方便的联系诈骗分子。这种诈骗方式没有出现任何“可疑操作”,这让受害者更加信服警告的真实性。

稿源:本站翻译整理,封面来源:百度搜索