Sementara Microsoft Edge disebut-sebut lebih aman daripada Chrome dan Firefox, peringatan keamanan browser rentan terhadap penipuan dukungan teknis penyalahgunaan. Seorang peneliti keamanan telah menemukan kerentanan di Edge yang dapat membuat scammers menampilkan peringatan keamanan palsu untuk domain apa pun.
Manuel Caballero, yang mengelola blog Broken Browser, menemukan bahwa scammers juga dapat menyesuaikan teks peringatan palsu untuk memikat pengguna yang tidak curiga agar menelepon nomor dukungan teknis. Operator call center, pada kenyataannya, akan mengelabui para korban agar mengeluarkan biaya yang besar.
Caballero mencatat bahwa kampanye jahat bukanlah hal baru. Namun, dia mengakui bahwa scammers mengembangkan trik mereka untuk menipu lebih banyak pengguna. Dia menulis dalam posting blog:
“Mereka membuat peringatan merah atau BSOD dengan pesan palsu dan terkadang mereka bahkan memberikan peringatan pemblokiran untuk mencegah pengguna pergi. Saat pengguna menutup kotak peringatan, yang baru muncul, tak terhingga.”
Cacat ada di fitur keamanan SmartScreen Edge
Caballero mengatakan bug keamanan ada di Edge's Fitur keamanan SmartScreen, menambahkan bahwa kelemahannya hanya unik pada Edge. SmartScreen berfungsi untuk mendeteksi unduhan drive-by dan URL phishing sehingga menampilkan peringatan keamanan di dalam jendela browser.
Pesan peringatan berada di protokol instalasi Edge ms-appx: dan ms-appx-web. Edge menggunakan protokol ini untuk menampilkan pesan peringatan saat browser mendeteksi situs pengiriman phishing atau malware.
Peneliti keamanan menjelaskan bahwa cacat tersebut tidak hanya memungkinkan peretas untuk mengekstrak protokol dan menyesuaikan pesan peringatan, tetapi juga memungkinkan penjahat cyber memalsukan URL di Edge's bilah alamat. Scammers juga dapat menambahkan hash dan memalsukan halaman scam dukungan teknis sehingga spoofing tampak asli. Demikian juga, pengguna yang tidak menaruh curiga akan berpikir bahwa situs web yang mereka kunjungi adalah sah, padahal sebenarnya situs tersebut dipalsukan.
Kerentanan dapat berfungsi sebagai alat yang efektif bagi scammer dukungan teknis untuk menutupi serangan mereka dengan URL yang sah. Juga, saat ini tidak ada perbaikan untuk cacat tersebut, menurut Caballero, yang mengklaim Microsoft mengabaikan laporannya di masa lalu.
Baca juga:
- Cara menghapus pop-up penipuan dukungan teknis di Windows
- Micorsoft memperingatkan pengguna Hicurdismos, penipuan 'dukungan teknis telepon'
- Microsoft Edge mendukung Windows Defender Guard untuk keamanan yang lebih baik
