تبهکاران سایبری نیازی به پیدا کردن باگهای فنی خیلی پیچیده برای اجرای حملات فیشینگ (سرقت اطلاعات کاربر از طریق ساختن یک وب سایت جعلی) ندارد و در اغلب موارد تنها چیزی که نیاز دارند، یک اسکرین شات از صفحه وب مورد نظر و کمی کدنویسی است.
به تازگی توسعه دهندهای به نام جیمز فیشر یک باگ نسبتاً ساده در نسخه موبایلی مرورگر کروم پیدا کرده که از شیوه نمایش نوار آدرس در این اپلیکیشن استفاده یا به عبارت بهتر سوء استفاده میکند. حتماً میدانید که در مرورگر کروم در گوشیهای هوشمند، هنگامی که به سمت پایین صفحه اسکرول میکنید، برای راحتی کار، نوار آدرس همچنان در بالای صفحه برایتان نمایش داده میشود. حال با استفاده از باگی که آقای فیشر کشف کرده، میتوان به جای نوار آدرس اصلی یک نوار جعلی را به کاربر نشان داد، که این نوار آدرس جعلی تا وقتی وارد یک سایت دیگر نشدهاید، ناپدید نخواهد شد. در این روش، هکرها میتوانند یک وب سایت جعلی ساخته و آدرس جعلی آن را نیز در بالای صفحه نشان دهند تا از این طریق اطمینان شما را جلب کرده و اطلاعاتی را که وارد میکنید، به سرقت ببرند. مهاجمان حتی میتوانند صفحه را به گونهای کد نویسی کنند که در هنگام اسکرول کردن به سمت بالا نیز نوار آدرس واقعی از دید کاربر مخفی شده و همچنان آدرس جعلی برای وی به نمایش درآید.
روشی که فیشر برای این حمله سایبری فاش کرده، در حال حاضر تنها بر روی مرورگر کروم تمرکز دارد و هنوز در حد یک طرح مفهومی است، اما از لحاظ تئوری امکان استفاده آن در مرورگرهای دیگر و حتی اضافه کردن عناصر تعاملی به آن نیز وجود دارد. به عبارت دیگر، طراح حملات فیشینگ میتواند یک سایت جعلی با ظاهری کاملاً فریبنده را فراتر از محتوای صفحه اصلی ایجاد کند. برای اینکه در دام چنین حملاتی نیفتید، باید به آدرس اولیهای که هنگام ورود به یک سایت نمایش داده میشود دقت کافی را داشته باشید؛ مسئلهای که البته تعداد بسیار کمی از کاربران به آن توجه دارند.
فعلاً گوگل به سؤالاتی که در این رابطه پرسیده شده، هیچ پاسخی نداده است و مشخص نیست که چه تعداد حملات فیشینگ با این روش یا روشهای مشابه انجام شده است؟ البته ظاهراً روشی برای چک کردن آدرس واقعی سایتها وجود دارد. تیم 9to5Google در بررسیهای خود متوجه شده که با قفل کردن گوشی و باز کردن دوباره قفل آن، میتوان نوار آدرس واقعی را مشاهده کرد. اما به هر حال، این روش تنها به عنوان یک راهکار موقت میتواند استفاده شود و البته بسیاری از کاربران گوشیهای هوشمند از چنین ترفندهایی خبر ندارند و ممکن است به سادگی فریب سایتهای جعلی را بخورند.
