Mientras Microsoft Edge se promociona como más seguro que Chrome y Firefox, la alerta de seguridad del navegador es susceptible a estafa de soporte técnico abuso. Un investigador de seguridad ha descubierto una vulnerabilidad en Edge que podría permitir a los estafadores mostrar una alerta de seguridad falsa para cualquier dominio.
Manuel Caballero, quien mantiene el blog Broken Browser, descubrió que los estafadores también podían personalizar el texto de las alertas falsas para atraer a los usuarios desprevenidos a llamar. números de soporte técnico. Los operadores del centro de llamadas, de hecho, engañaban a las víctimas para que pagaran grandes sumas de honorarios.
Caballero señaló que la campaña maliciosa no es nada nuevo. Sin embargo, reconoció que los estafadores están avanzando en su truco para engañar a más usuarios. Escribió en un entrada en el blog:
“Presentan advertencias rojas o BSOD con mensajes falsos y, a veces, incluso lanzan alertas de bloqueo para evitar que los usuarios se vayan. Cuando un usuario cierra el cuadro de alerta, aparece uno nuevo, ad infinitum ".
Existe una falla en la función de seguridad SmartScreen de Edge
Caballero dijo que el error de seguridad existe en Edge Función de seguridad SmartScreen, agregando que la falla es exclusiva de Edge. SmartScreen funciona para detectar descargas no autorizadas y URL de phishing para que muestre una alerta de seguridad dentro de la ventana del navegador.
Los mensajes de advertencia residen en los protocolos de instalación de Edge ms-appx: y ms-appx-web. Edge usa estos protocolos para mostrar mensajes de advertencia cuando el navegador detecta sitios de entrega de phishing o malware.
El investigador de seguridad explicó que la falla no solo podía permitir a los piratas informáticos extraer el protocolos y personalizar los mensajes de advertencia, pero también permite a los delincuentes cibernéticos falsificar la URL en Edge Barra de dirección. Los estafadores también podrían agregar un hash y falsificar una página de estafa de soporte técnico para que la suplantación parezca auténtica. Del mismo modo, los usuarios desprevenidos pensarían que un sitio web que visitan es legítimo, cuando en realidad se está falsificando.
La vulnerabilidad podría servir como una herramienta eficaz para que los estafadores de soporte técnico enmascaren su ataque con una URL legítima. Además, actualmente no existe una solución para la falla, según Caballero, quien afirmó que Microsoft ignoró sus informes en el pasado.
Lea también:
- Cómo eliminar las ventanas emergentes de estafas de soporte técnico en Windows
- Micorsoft advierte a los usuarios sobre Hicurdismos, una estafa de "soporte técnico telefónico"
- Microsoft Edge es compatible con Windows Defender Guard para una mejor seguridad
