Microsoft Edge's sikkerhedsadvarsler er sårbare over for misbrug af teknisk support

Mens Microsoft Edge er udråbt som mere sikker end Chrome og Firefox, er browserens sikkerhedsadvarsel modtagelig for teknisk support fidus misbrug. En sikkerhedsforsker har opdaget en sårbarhed i Edge, der kan lade svindlere vise en falsk sikkerhedsadvarsel for ethvert domæne.

Manuel Caballero, der vedligeholder Broken Browser-bloggen, fandt, at svindlere også kunne tilpasse teksten til de falske alarmer for at lokke intetanende brugere til at ringe tekniske supportnumre. Call-center-operatørerne ville faktisk narre ofrene til at beskytte store gebyrer.

Caballero bemærkede, at den ondsindede kampagne ikke er noget nyt. Han erkendte imidlertid, at svindlere fremmer deres trick for at narre flere brugere. Han skrev i en blogindlæg:

”De giver røde advarsler eller BSOD'er med falske meddelelser, og nogle gange kaster de endda blokerende alarmer for at forhindre brugere i at gå væk. Når en bruger lukker advarselsboksen, vises der en ny, ad infinitum. ”

Fejl findes i Edge's SmartScreen-sikkerhedsfunktion

Caballero sagde, at sikkerhedsfejlen findes i Edge's SmartScreen-sikkerhedsfunktionog tilføjer, at fejlen kun er unik for Edge. SmartScreen fungerer til at opdage drive-by-downloads og phishing-URL'er, så den viser en sikkerhedsadvarsel inde i browservinduet.

Advarselsmeddelelserne findes i Edge's installationsprotokoller ms-appx: og ms-appx-web. Edge bruger disse protokoller til at vise advarselsmeddelelser, når browseren registrerer phishing- eller malware-leveringssider.

Sikkerhedsforskeren forklarede, at fejlen ikke kun kunne tillade hackere at udtrække protokoller og tilpasse advarselsmeddelelserne, men det lader også cyber-skurke falske URL'en i Edge's adresse bar. Svindlere kan også tilføje en hash og smede en teknisk support-fidusside, så spoofing vises autentisk. Ligeledes ville intetanende brugere tro, at et websted, de besøger, var legitimt, når det faktisk blev spoofed.

Sårbarheden kan fungere som et effektivt værktøj for svindlere med teknisk support til at maskere deres angreb med en legitim URL. Der er i øjeblikket ingen løsning på fejlen ifølge Caballero, der hævdede, at Microsoft tidligere har ignoreret sine rapporter.

Læs også:

  • Sådan fjernes pop op-vinduer med teknisk support-svindel i Windows
  • Micorsoft advarer brugere af Hicurdismos, en 'telefon teknisk support' fidus
  • Microsoft Edge understøtter Windows Defender Guard for bedre sikkerhed
Fortæl Microsoft om dine problemer i Edge med Microsoft Edge Platform Issue Tracker

Fortæl Microsoft om dine problemer i Edge med Microsoft Edge Platform Issue TrackerMicrosoft Edge Problemer

På denne uges Edge Web Summit præsenterede Microsoft Microsoft Edge Platform Issue Tracker, et værktøj til at indsamle problemrapporter og feedback om Windows 10's browser. Brugere var allerede i s...

Læs mere
LastPass-udvidelse til Microsoft Edge frigives i år

LastPass-udvidelse til Microsoft Edge frigives i årMicrosoft Edge Problemer

Udviklere af en populær godkendelsesapp, LastPass, frigiver embedsmanden Microsoft Edge forlængelse af det snart. Vi allerede rapporteret om LastPass 'planer om at frigive Edge-udvidelsen, og det r...

Læs mere
Microsoft Edge får forbedringer i Enterprise Mode med jubilæumsopdatering

Microsoft Edge får forbedringer i Enterprise Mode med jubilæumsopdateringMicrosoft Edge Problemer

Microsoft annoncerede netop et par forbedringer til Edge's Enterprise Mode, der vil falde sammen med frigivelsen af Jubilæumsopdateringen. Disse forbedringer skal forbedre vejen Microsoft Edge fung...

Læs mere