Utvikler James Fisher har funnet en metode som ganske enkelt kan brukes til svindel i Google Chrome på mobil.
Utvikler James Fisher har funnet en metode som ganske enkelt kan brukes til svindel i Google Chrome på mobil. (Foto: Stein Jarle Olsen, Tek.no)

Ny svindelmetode lager falsk adresselinje i nettleseren

Kan brukes til å stjele innloggingsinformasjon.

Annonsør­innhold
Les hele saken »

– Velkommen til HSBC, verdens syvende største bank! 

Slik starter utvikler James Fisher et blogginnlegg hvor han demonstrerer hvordan svindlere i praksis kan kapre hele adressefeltet i Google Chrome på mobil og utgi seg for å være en helt annen nettside – for eksempel en bank. Er du først lurt kan svindlere deretter stjele innloggingsinformasjonen din på ulike nettsider. 

At nettsider utgir seg for å være andre nettsider er ikke spesielt uvanlig, men det er vanligvis relativt enkelt å oppdage ved å se på nettadressen. Det er ikke tilfelle denne gangen. 

Skrollefengsel 

I utgangspunktet vil Google Chrome på mobil vise den «ekte» adressen til nettsiden du er på, og så skjule hele adressefeltet når du skroller nedover på nettsiden.

Med Fishers metode kan et svindelnettsted posere som et hvilket som helst annet nettsted, og om du ikke får med deg nettadressen før du begynner å skrolle, vil metoden kunne gjøre det nærmest umulig å skrolle tilbake til toppen – og dermed til den ekte adressen. 

Fisher kaller det et «skrollefengsel» hvor brukeren tror at han skroller opp på nettsiden, men i praksis bare skroller til toppen av fengselet. Om brukeren forsøker å skrolle videre, vil han bli dyttet tilbake til fengselet i noe som ser ut som en ny lasting av siden. Å overstyre tilbakeknappen i nettleseren er også en ganske enkel oppgave. 

Slik ser det ut i praksis: 

Tilpasser seg nettleseren

I konseptvideoen hans bruker han bare en skjermdump for å forfalske adressefeltet, men Fisher skriver at det vil være relativt uproblematisk å få nettsiden til å oppdage hvilken nettleser som brukes og bruke riktig grensesnitt ut fra det. Den kan attpåtil gjøres interaktiv. 

– Selv om brukeren ikke blir lurt av den nåværende siden, kan du få et nytt forsøk etter at brukeren skriver inn Gmail.com i feltet, skriver Fisher, som har døpt metoden «Inception bar» etter filmen Inception. 

Om du surfer til Gmail.com (eller en annen nettside man på forhånd har forberedt) i den kaprede nettleseren vil du dermed kunne gi fra deg både brukernavn og passord uten å være klar over det. 

Foreslår løsning 

Utvikleren foreslår som en løsning på problemet at Google beholder et lite felt for å tilkjennegjøre at adresselinja er borte når man skroller.

Som 9to5Mac skriver vil det også være mulig å låse mobilen og låse den opp igjen for å få Chrome til å vise det ekte adressefeltet. Det fordrer imidlertid at du vet at du blir forsøkt svindlet, i tilfelle. 

Vi har søkt Google Norge for en kommentar, men foreløpig ikke hørt tilbake. Google har tilsynelatende heller ikke uttalt seg til noen andre på nåværende tidspunkt. 

Norges beste mobilabonnement

Sommer 2019

Kåret av Tek-redaksjonen

Jeg bruker lite data:

Sponz 1 GB


Jeg bruker middels mye data:

GE Mobil Leve 6 GB


Jeg bruker mye data:

Chili 25 GB


Jeg er superbruker:

Chili Fri Data


Finn billigste abonnement i vår mobilkalkulator

Forsiden akkurat nå

Til toppen