Inception bar：一种新的钓鱼方法

欢迎来到世界第七大银行汇丰银行！是的，上面图片中的网站并不是hsbc.com，而是我自己开发的网站jameshfisher.com。但是，当你用Chrome移动版浏览器上下滑动浏览这个网站时，会发现除了页面内容不合理，其余都很像hsbc.com，尤其是地址栏，明显就是hsbc.com。本文将介绍这种钓鱼网站是如何产生的以及针对这类钓鱼网站的防御措施。

在移动版Chrome浏览器中，当用户向下滚动时，浏览器会自动隐藏URL栏，将URL栏占用的屏幕空间还给网页。而对于大多数用户来说，URL栏的这个位置可以说是浏览器中最可信的部位，如果用户想要判断你正访问网站的网址是什么，大多数人第一时间看看URL栏。因此，浏览器的URL栏也成了钓鱼攻击的重点部位，研究人员发现了一种伪造“URL栏”的方法——利用inception bar。

一般，当用户在Chrome浏览器中下滑时，Chrome会重新显示真实的URL栏，而非一直隐藏。但是可以通过一种方式来欺骗Chrome，让浏览器永远不会显示真实的URL栏！一旦Chrome隐藏了URL栏，就可以整个页面内容移动到“scroll jail”中——这里研究人员利用了overflow:scroll。当用户用手指上下滑动时，会误以为认为他们是在当前页面中向上滚动，但事实上用户只是研究人员设置的“scroll jail”中滑动！就像是做梦中一样，用户以为他们在浏览器中，但实际上是在浏览器中的一个区块中。

POC视频如下：https://d33wubrfki0l68.cloudfront.net/783bd862c3df19b6fb4eac0b4f687d598c957891/a3915/assets/2019-04-27/demo.webm

从POC视频中，还有一个问题没有解决，那就是一旦用户滚动到“scroll jail”的顶部，Chrome就会重新显示URL栏。为了解决这个问题，研究人员在“scroll jail”的顶部插入了一个填充元素。如果用户尝试滚动到所填充的元素，就自动向下滚动到钓鱼页面的开头！这一套操作看起来很像页面刷新。

在POC中，研究人员截取了HSBC网站的chrome浏览器的URL栏，然后插入到该web页面中。因为页面可以检测使用的浏览器，因此可以为对应的浏览器伪造一个inception bar。而且该inception bar还可以是交互的，即使用户没有被当前页面所欺骗，仍然可以在用户在inception bar输入gmail.com之后尝试进行下一次欺骗。

这是一个非常严重的安全漏洞吗？是的，因为作为inception bar的创建者，研究人员发现自己也被欺骗了。所以研究人员猜测该技术可以欺骗更多的用户。用户验证真实URL的唯一机会在滑动页面前的页面加载中。

如何应对此类攻击呢？

研究人员目前也没有应对的方法。对于Chrome浏览器的这个安全漏洞，研究人员认为补丁是一个最大化屏幕空间利用和保留可信屏幕空间之间的一个平衡。其中一个解决方案是在仍然沿用之前的小屏幕空间方法。最好的解决方法就是在Chrome隐藏URL栏时，做出提示，让用户意识到“URL栏当前已隐藏”。