Habang ang Microsoft Edge ay touted bilang mas ligtas kaysa sa Chrome at Firefox, ang security alert ng browser ay madaling kapitan ng pang-aabusong teknikal na suporta sa scam. Ang isang security researcher ay natuklasan ang isang kahinaan sa Edge na maaaring hayaan ang mga scammers na magpakita ng isang pekeng alerto sa seguridad para sa anumang domain.

Si Manuel Caballero, na nagpapanatili ng blog na Broken Browser, ay natagpuan na ang mga scammers ay maaari ring ipasadya ang teksto para sa mga pekeng alerto upang maakit ang mga hindi nagtutuon ng mga gumagamit sa pagtawag sa mga numero ng suporta sa tech. Ang mga operator ng call center, sa katunayan, ay linlangin ang mga biktima sa paglalagay ng malaking halaga ng mga bayarin.

Nabanggit ni Caballero na ang malisyosong kampanya ay walang bago. Gayunpaman, kinilala niya na ang mga scammers ay sumusulong sa kanilang trick upang linlangin ang mas maraming mga gumagamit. Sumulat siya sa isang post sa blog:

"Nagbibigay sila ng mga pulang babala o mga BSOD na may pekeng mga mensahe at kung minsan ay itinapon pa nila ang pag-block ng mga alerto upang maiwasan ang mga gumagamit. Kapag isinara ng isang gumagamit ang kahon ng alerto ng bago, lilitaw ang ad infinitum."

Ang flaw ay umiiral sa tampok na seguridad ng SmartScreen ng Edge

Sinabi ni Caballero na umiiral ang bug ng seguridad sa tampok na seguridad ng SmartScreen ng Edge, na pagdaragdag na ang kapintasan ay natatangi lamang sa Edge. Gumagana ang SmartScreen upang makita ang mga pag-download ng drive at mga phishing upang ipakita ang isang alerto sa seguridad sa loob ng window ng browser.

Ang mga mensahe ng babala ay naninirahan sa mga protocol ng pag-install ng Edge: at ms-appx-web. Ginagamit ng Edge ang mga protocol na ito upang ipakita ang mga mensahe ng babala kapag nakita ng browser ang mga site ng paghahatid ng phishing o malware.

Ipinaliwanag ng security researcher na ang kapintasan ay hindi lamang maaaring payagan ang mga hacker na kunin ang mga protocol at ipasadya ang mga mensahe ng babala, ngunit pinapayagan din nito ang mga cyber crooks na pekeng ang URL sa address bar ng Edge. Ang mga scammers ay maaari ring maglagay ng isang hash at maglagay ng isang teknikal na pahina ng suporta sa scam upang lumitaw ang tunay na spoofing. Gayundin, ang inaakala ng mga gumagamit ay hindi akalain na ang isang website na kanilang bisitahin ay lehitimo, kung sa katunayan ito ay nasisira.

Ang kahinaan ay maaaring magsilbing isang epektibong tool para sa mga tech support scammers upang i-mask ang kanilang pag-atake sa isang lehitimong URL. Gayundin, sa kasalukuyan ay walang pag-aayos para sa kapintasan, ayon kay Caballero, na inaangkin na hindi pinansin ng Microsoft ang kanyang mga ulat sa nakaraan.

Basahin din:

• Paano tanggalin ang mga tech support scam pop-up sa Windows
• Binabalaan ng Micorsoft ang mga gumagamit ng Hicurdismos, isang 'teleponong tech support' scam
• Sinusuportahan ng Microsoft Edge ang Windows Defender Guard para sa mas mahusay na seguridad