Alors que Microsoft Edge est présenté comme plus sécurisé que Chrome et Firefox, l'alerte de sécurité du navigateur est susceptible de arnaque au support technique abuser de. Un chercheur en sécurité a découvert une vulnérabilité dans Edge qui pourrait permettre aux fraudeurs d'afficher une fausse alerte de sécurité pour n'importe quel domaine.
Manuel Caballero, qui gère le blog Broken Browser, a découvert que les escrocs pouvaient également personnaliser le texte des fausses alertes pour inciter les utilisateurs sans méfiance à appeler. numéros d'assistance technique. Les opérateurs de centres d'appels, en fait, inciteraient les victimes à débourser des sommes importantes.
Caballero a noté que la campagne malveillante n'a rien de nouveau. Cependant, il a reconnu que les escrocs avancent leur astuce pour tromper plus d'utilisateurs. Il a écrit dans un article de blog:
« Ils affichent des avertissements rouges ou des BSOD avec de faux messages et parfois ils lancent même des alertes de blocage pour empêcher les utilisateurs de partir. Lorsqu'un utilisateur ferme la boîte d'alerte, une nouvelle apparaît, à l'infini.
Un défaut existe dans la fonction de sécurité SmartScreen d'Edge
Caballero a déclaré que le bogue de sécurité existait dans Edge Fonction de sécurité SmartScreen, ajoutant que la faille n'est propre qu'à Edge. SmartScreen détecte les téléchargements intempestifs et les URL de phishing afin d'afficher une alerte de sécurité dans la fenêtre du navigateur.
Les messages d'avertissement résident dans les protocoles d'installation d'Edge ms-appx : et ms-appx-web. Edge utilise ces protocoles pour afficher des messages d'avertissement lorsque le navigateur détecte des sites de diffusion d'hameçonnage ou de logiciels malveillants.
Le chercheur en sécurité a expliqué que la faille pouvait non seulement permettre aux pirates d'extraire le protocoles et personnaliser les messages d'avertissement, mais il permet également aux cyber-escrocs de falsifier l'URL dans Edge barre d'adresse. Les escrocs peuvent également ajouter un hachage et créer une page d'escroquerie de support technique afin que l'usurpation d'identité apparaisse authentique. De même, des utilisateurs peu méfiants penseraient qu'un site Web qu'ils visitent est légitime, alors qu'en fait il est usurpé.
La vulnérabilité pourrait servir d'outil efficace aux escrocs du support technique pour masquer leur attaque avec une URL légitime. De plus, il n'y a actuellement aucun correctif pour la faille, selon Caballero, qui a affirmé que Microsoft avait ignoré ses rapports dans le passé.
Lire aussi :
- Comment supprimer les pop-ups d'escroquerie de support technique dans Windows
- Micorsoft met en garde les utilisateurs contre Hicurdismos, une arnaque au "support technique téléphonique"
- Microsoft Edge prend en charge Windows Defender Guard pour une meilleure sécurité
