Безопасность: злоумышленники используют поддельные предупреждения SmartScreen в Microsoft Edge

Система безопасности SmartScreen в браузере Microsoft Edge призвана защищать пользователя от жульнической активности на веб-сайтах. Браузер предупреждает гостя, если веб-сайт может представлять угрозу безопасности. Сначала, SmartScreen позволяет защитить от фишинга, когда под видом официальных страниц банков и сервисов злоумышленники просто получают важные данные пользователя. Ведь жертва, полагая, что находится на официальном веб-сайте сервиса либо банка, самовольно вводит важные данные и посылает их на сервера жуликов.

К сожалению, мошенники не сидят на месте и отыскали хитрецкий метод использовать саму систему SmartScreen в своих целях. Об этом рассказал Майкл Кабальеро, эксперт по web-безопасности. Злоумышленники научились вызывать в Microsoft Edge экраны предупреждения системы SmartScreen при помощи команд «ms-appx:» и «ms-appx-web:». Благодаря этому мошенники выводят в сообщение об угрозы веб-сайта дополнительную информацию, вводящую пользователя в заблуждение. К примеру, они предлагают обратиться в службу саппорта, позвонив по обозначенному телефону. Трубку в таком случае поднимают специально приготовленные люди, которые могут вынуть из наивного пользователя важную информацию. Для демонстрации уязвимости SmartScreen в Microsoft Edge Майкл сделал ординарную страницу, которая вызывает окно предупреждения.