The inception bar, la nuova tecnica di phishing che sfrutta l'applicazione di Google Chrome.


In questi giorni James Fisher, (sviluppatore noto per la realizzazione dell'applicazione Vidrio), tramite un post pubblicato sul suo sito, ha fatto sapere di aver scoperto una nuova tecnica di phishing chiamata "inception bar". In pratica, secondo quanto dimostrato dallo sviluppatore, utilizzando questo metodo è possibile sfruttare la versione per dispositivi mobili del browser Google Chrome, (ed in particolare il comportamento dell'applicazione per quanto riguarda la barra degli indirizzi), per mettere in atto, appunto, truffe. In sostanza, come già noto, mentre si scorre verso il basso, per leggere il resto di una pagina web, l'applicazione di Google Chrome nasconde la barra degli indirizzi, e questo è esattamente il punto in cui entra in gioco la cosiddetta "inception bar": la dimostrazione di James Fisher ha utilizzato il sito web di HSBC come sostituto di quello originale su cui si trovava. Entrando un po' più nei dettagli tramite una serie di scroll, l'intero contenuto della pagina viene letteralmente intrappolato in un nuovo elemento di "overflow:scroll", creando così una sorta di browser all'interno di un browser; da qui il nome della tecnica, ispirato al film Inception del 2010. Ad ogni modo a seconda delle modalità utilizzate da un hacker, la barra degli indirizzi fasulla potrebbe persino essere resa interattiva, così da creare un'illusione più elaborata, arrivando ad aggiungere elementi di riempimento nella parte superiore del modulo. Per farla breve in questo modo un malintenzionato potrebbe riuscire a sovrapporre il proprio contenuto, (ovviamente malevolo), a quello legittimo, senza che l'utente si accorga nemmeno di essere entrato in un sito web differente e sul quale potrebbe imbattersi in dei virus, cliccare su link falsi e mettere a serio rischio la propria privacy. Comunque sia, nonostante questa illusione può essere interrotta navigando in uno dei menù di Google Chrome, secondo quanto mostrato dallo sviluppatore, il metodo rimane uno dei più sconcertanti, (anche se piuttosto creativo), per implementare un attacco di phishing: Google è stato già avvertito del problema e dovrebbe presto intervenire per risolvere, infine, questo problema attraverso il rilascio di un aggiornamento dell'applicazione del suo browser.

Di seguito un breve video di esempio:

Commenti