劫持Chrome浏览器的“新方法”

通常情况下，网络犯罪分子在通过技术支持服务来进行诈骗活动时，需要使用到一些钓鱼网站，并在钓鱼页面中包含一些伪造的警告信息。诈骗分子需要通过这些警告信息来欺骗用户，让他们立刻去访问链接中的技术支持中心来获取帮助服务。这也是一种常见的攻击方式。但是在这篇文章中，我们将会给大家介绍一种专门针对谷歌Chrome浏览器用户的新型诈骗技术。
网络诈骗分子又出新花样
告诉大家一个消息，通过技术支持服务来进行网络诈骗的犯罪分子们又设计出了一种新的花招来欺骗那些不明真相的吃瓜群众。通过一张精心设计的图片文件，在配合谷歌Chrome浏览器的全屏模式，攻击者就可以开始对你进行攻击了。
他们的新型诈骗策略需要用到一个经过特殊设计的技术支持页面，这个网站页面要模仿微软官方网站的界面风格来实现。
当用户通过Chrome浏览器访问这个伪造的页面时，隐藏在页面中的JavaSrcipt代码会将用户的Chrome浏览器切换至全屏模式。使用过Chrome浏览器的同学肯定都知道，此时浏览器顶部的工具栏会自动隐藏，当然也包括地址栏在内。这时候，诈骗分子就可以在网页顶部加载一个JPEG格式的图片，并将其外观设计成与Chrome的工具栏一模一样。
当用户将他们的鼠标移动到页面顶部的区域时，他们并不会发现任何的异常。除非用户使用了某种自定义的Chrome主题，或者使用的是用户界面风格不同的Chrome浏览器。
“逼真”的地址栏
这个伪造出来的地址栏非常有意思，因为我们这些年来一直都在告诉用户，在访问一个网站之前，一定要确认浏览器地址栏中的URL地址是否为合法正规的网站地址。当浏览器加载了这个诈骗页面之后，浏览器便会自动进入全屏模式。这一切操作完成之后，该页面还会通过不断弹出警告窗口的形式来防止用户关闭该网页。
接下来，让我们来看一看这个如此“逼真”的地址栏，网页界面如下图所示。实际上，下图所示的这个网站看起来的确和微软公司的官方网站没多大区别，除了地址栏中的URL参数“ru-ru”（俄罗斯？）看起来有些可疑之外，其他的设计还是不错的。
  

现在，让我们来深入分析一下，这种伪造页面到底是如何实现的。我们发现，这个伪造出来的地址栏无非只是一张JPEG格式的照片而已，这张图片被放置在了一个恰当的位置，所以当Chrome切换到全屏模式时，它才会看起来非常的逼真。

伪造出原生风格的Chrome弹出窗口
Malwarebytes公司的安全团队在发现了这种新型的攻击技术之后，他们又发现了另外一种针对Chrome用户的网络诈骗技术。
Chrome浏览器有一个非常有意思的功能，它提供了一个“阻止该页面弹出额外窗口”的选项，这个功能非常的有用。因为很多网站在用户关闭网页的时候，会弹出一些类似“您确定要离开这个页面吗？”以及“您真的确定要这样做吗？”这样的弹窗警告，很多用户对此确实深表反感。
在另一种攻击场景中，诈骗分子可以模仿Chrome原始的警告弹窗风格来伪造出一个弹出窗口。Chrome浏览器会询问用户是否需要禁用该页面的弹窗功能，此时就是这个伪造弹窗发挥作用的时候了。当用户选择禁用该页面的弹窗功能之后，诈骗分子就可以通过这种伪造的弹窗来不断地显示出更多的警告窗口。
诈骗分子所期望的是，当Chrome浏览器检测到了网站页面中带有JavaSript弹窗警告功能时，向用户显示“是否需要禁用该页面的弹窗功能”的确认窗口，用户会根据自己的实际需要来进行选择。但是当用户点击了伪造弹窗中的“OK”按钮之后，网页将会弹出更多的窗口。

细心的同学们可能已经发现了，上图所示的对话框中甚至还出现了单词拼写错误的情况，诈骗分子们能不能用点心啊？可能看到这里，朋友们甚至已经忘记了真实的Chrome对话框是什么样子的了，请往下看：

请注意，诈骗分子在这里还用了另外一个小技巧，即上图所示的“PressESC, to close this page!”（按下ESC键关闭该页面）。这里存在几个错误：首先，这段代码中存在语法错误，因为我们不会在一句完整的话中加入逗号；除此之外，这也并不是Chrome浏览器会提供的功能。
结束语
安全研究专家认为，基于浏览器的技术支持诈骗目前还不会引起非常大的麻烦。但不好的消息是，大多数浏览器都无法抵御恶意JavaSript脚本的攻击，当这些恶意脚本修改了用户的浏览器配置之后，用户将不得不向技术支持服务中心寻求帮助。
就目前的情况来看，想要发现这些诈骗行为其实并不容易，所以我们才认为需要将这种诈骗技术的内部工作机制曝光出来。