そのURLバーは本物？　Chromeの仕様を悪用したフィッシング詐欺のデモサイトが公開中

　フィッシング詐欺の新たな手口になりうる、偽のURLバーを体験できるスマホ向けのデモサイトが、海外のブログ上で公開されている。

　これはモバイル版Chromeの仕様を悪用したもの。スマホ向けのChrome（Chrome for mobile）では、画面をなるべく広く使うため、ページのスクロールを始めると画面上のURLバーが非表示になるが、その状態で偽のURLバーを表示し、正規のURLバーだと勘違いしたユーザーからプライベートなURLを抜き取るという手口だ。現在公開されているエントリでは、スクロールを開始すると本来のURLである「jameshfisher.com」が非表示になり、偽装されたURL「www.hsbc.com」が記されたURLバーがポップアップするのを実際に体験できる。Chrome以外では正しく動作せず、SafariなどではURLバーが2段に並んでしまうが、初見ではうっかり騙されるのも納得だ。ちなみに今回のサイトを作ったJim Fisher氏は、これはChromeの脆弱性ではあるものの無効にすれば利便性とのトレードオフが大きく、知識のないユーザーを騙すのは容易だろうとコメントしている。

• The inception bar: a new phishing method（Jim Fisher）
  https://jameshfisher.com/2019/04/27/the-inception-bar-a-new-phishing-method/