一种名为“盗梦空间栏”（Inception Bar）的新型 *** 钓鱼技术出现了，并被证实适用于 Chrome 移动版。

该 *** 允许黑客屏蔽 Chrome 移动版上的真实网址并显示虚假网址，并附带挂锁图标，以欺骗用户相信他们正在滚动的网页是合法且安全的。更糟糕的是，假 URL 也可以显示为带有交互式内容的动态栏。

开发人员 Jim Fisher 无意中发现这一 *** ，并在其个人博客进行实验，展示了它的工作方式。

在 Chrome 移动版中，当用户向下滑动页面时，浏览器会隐藏 URL 栏，为网页腾出更多空间。正因如此， *** 钓鱼站点得以显示自己的虚假 URL 栏。

通常，当用户向上滚动时，Chrome 会重新显示网址栏。但黑客可以欺骗 Chrome，使真正的网址栏永远不会重新显示。

一旦 Chrome 隐藏了 URL 栏，整个页面内容都可以被移动到带有新元素overflow:scroll 的“滚动监狱”中。接下来，用户会以为他们在向上滑动页面，但事实上他们只是在“滚动监狱”中向上滚动，就像《盗梦空间》中的套环梦境一样。

虽然黑客可以使用 URL 栏的静态图像来掩盖真实的 URL，但他们甚至可以创建一个交互式 URL 栏，使其看起来更加可信。

目前为止，还没有关于恶意利用该 *** 造成破坏的报道。我们可以采取一些措施来保护自己免受“盗梦空间栏”的攻击：

• 在 Chrome 浏览器中访问网页时，可以锁定屏幕然后重新解锁。这时，被隐藏起来的真实 URL 会自动显示，如果 *** 钓鱼站点在起作用，用户将同时看到两个 URL 栏；
• 钓鱼栏右上角的选项卡数量通常显示不准确，留心检查已在不同选项卡中打开的网页数量，则可以发现异常；
• Chrome 的黑暗模式会将所有 UI 元素设置为黑色，而虚假的 URL 栏通常显示为白色，这也可在一定程度上帮助识别伪 URL 栏。

参考：Jim Fisher、gadgets360

（稿源：开源中国，封面源自 *** 。）