მიუხედავად იმისა, რომ მაიკროსოფტი Edge რეკლამირებულია, როგორც უფრო უსაფრთხო ვიდრე Chrome და Firefox, ბრაუზერის უსაფრთხოების გაფრთხილება მგრძნობიარეა ტექნიკური დახმარების თაღლითობა ბოროტად გამოყენება. უსაფრთხოების მკვლევარმა Edge- ში აღმოაჩინა დაუცველობა, რომელიც თაღლითებს საშუალებას აძლევს აჩვენონ ყალბი უსაფრთხოების გაფრთხილება ნებისმიერი დომენისთვის.
მანუელ კაბალიერომ, რომელიც ინარჩუნებს Broken Browser ბლოგს, დაადგინა, რომ თაღლითებს ასევე შეეძლოთ ყალბი შეტყობინებების ტექსტის პერსონალიზება, რათა ეჭვი შეეპარათ მომხმარებლებისთვის. ტექნიკური მხარდაჭერის ნომრები. ქოლცენტრის ოპერატორები, ფაქტობრივად, დაზარალებულებს შეატყობინებენ, რომ დიდი რაოდენობით გადასახადები გამოერიცხათ.
კაბალიერომ აღნიშნა, რომ მუქარის კამპანია ახალი არაფერია. ამასთან, მან დაადასტურა, რომ თაღლითები აძლიერებენ თავიანთ ხრიკს, რათა მეტი მომხმარებელი მოატყუონ. მან დაწერა ა ბლოგის პოსტი:
”ისინი აფრთხილებენ წითელ გაფრთხილებებს ან BSOD- ს ყალბი შეტყობინებებით და ზოგჯერ ისინი დაბლოკვის გაფრთხილებებსაც კი აყრიან, რომ მომხმარებლები არ გაქრეს. როდესაც მომხმარებელი ხურავს განგაშის ყუთს, გამოჩნდება ახალი, ad infinitum. ”
ხარვეზი არსებობს Edge- ის SmartScreen უსაფრთხოების მახასიათებელში
კაბალიერომ თქვა, რომ უსაფრთხოების შეცდომა Edge– ში არსებობს SmartScreen უსაფრთხოების ფუნქციადა დასძინა, რომ ნაკლი მხოლოდ Edge– სთვისაა დამახასიათებელი. SmartScreen მუშაობს დისკის საშუალებით ჩამოტვირთვებისა და ფიშინგის URL- ების დასადგენად, ისე, რომ იგი აჩვენებს უსაფრთხოების გაფრთხილებას ბრაუზერის ფანჯარაში.
გამაფრთხილებელი შეტყობინებები მდებარეობს Edge- ის ინსტალაციის ოქმებში ms-appx: და ms-appx-web. Edge იყენებს ამ ოქმებს გამაფრთხილებელი შეტყობინებების საჩვენებლად, როდესაც ბრაუზერი ფიქსირდება ფიშინგის ან მავნე პროგრამების მიწოდების საიტებზე.
უსაფრთხოების მკვლევარმა განმარტა, რომ ხარვეზი არა მხოლოდ ჰაკერების საშუალებას მისცემს ამოიღონ ეს პროტოკოლები და მოირგეთ გამაფრთხილებელი შეტყობინებები, მაგრამ ეს საშუალებას აძლევს კიბერ თაღლითებს ყალბი URL– ით Edge– ში მისამართის ზოლი. თაღლითებს ასევე შეუძლიათ ჰეშის დამატება და ტექნიკური დახმარების თაღლითური გვერდის გაყალბება, რათა თაღლითობა ავთენტური იყოს. ანალოგიურად, არაცნობიერი მომხმარებლები თვლიან, რომ ვებსაიტი, რომელსაც ისინი სტუმრობენ, ლეგიტიმურია, სინამდვილეში კი იგი გაფუჭებულია.
დაუცველობა შეიძლება გახდეს ეფექტური საშუალება ტექნიკური დახმარების თაღლითებისთვის, რომ შეტევა მოახდინონ ლეგიტიმური URL- ით. გარდა ამისა, კაბალიეროს თქმით, ხარვეზის გამოსწორება ამჟამად არ არსებობს. მან თქვა, რომ Microsoft– მა უგულებელყო წარსული მოხსენებები.
ასევე წაიკითხეთ:
- როგორ ამოიღოთ ტექნიკური მხარდაჭერის თაღლითობის ამომხტარი ფანჯრები Windows- ში
- Micorsoft აფრთხილებს მომხმარებლებს Hicurdismos, "სატელეფონო ტექნიკური მხარდაჭერის" თაღლითობის შესახებ
- Microsoft Edge მხარს უჭერს Windows Defender Guard- ს უსაფრთხოების უკეთესი უზრუნველყოფისთვის
