盡管微軟聲稱自家 edge 是“最安全的浏覽器”,但新發現的一個缺陷,卻讓騙子可以借助虛假的 smartscreen 報錯界面來忽悠人。在一份新報告中,阿根廷安全研究人員 manuel caballero 提到了他的新發現,欺詐者竟然可以強制 edge 浏覽器顯示虛假的 smartscreen 錯誤警告,然後提取使用者的個人資訊。
smartscreen 是一項用于保護 edge 浏覽器使用者原理危險站點的功能,正常狀态下的它如上所示。
caballero 披露,如果欺詐者成功地利用了這個 bug,即可顯示一條本地警告消息,并替換上一個請求更多資訊的連結,欺騙使用者去點選(比如指向欺詐者精心設計好的、假冒的微軟幫助站點)。
manuel caballero 表示:“我們建立了一個可以自動生成的、電話号碼樣式的連結,受害者可以‘一鍵呼叫’,這顯然給詐騙者省了很多工夫”。
目前微軟暫未回應是否已在着手修複 edge 浏覽器中的這個 bug,但願該公司能盡快推出更新檔。