Walaupun Microsoft Edge disebut-sebut sebagai lebih selamat daripada Chrome dan Firefox, peringatan keselamatan penyemak imbas terdedah kepada penyalahgunaan penipuan sokongan teknikal. Seorang penyelidik keselamatan telah menemui kelemahan di Edge yang boleh membiarkan penipu memaparkan isyarat keselamatan palsu untuk mana-mana domain.

Manuel Caballero, yang mengekalkan blog Pelayar Patah, mendapati bahawa penipu juga boleh menyesuaikan teks untuk isyarat palsu untuk menarik pengguna yang tidak curiga ke dalam panggilan nombor sokongan teknologi. Pengendali pusat panggilan, sebenarnya, akan menipu para korban untuk menyerang sejumlah besar yuran.

Caballero menyatakan bahawa kempen jahat itu bukan sesuatu yang baru. Walau bagaimanapun, beliau mengakui bahawa penipu memajukan tipuan mereka untuk menipu lebih banyak pengguna. Beliau menulis dalam jawatan blog:

"Mereka membuat amaran merah atau BSOD dengan mesej palsu dan kadang-kadang mereka juga membuang menyekat isyarat untuk menghalang pengguna pergi. Apabila pengguna menutup kotak amaran yang baru muncul, iklan infinitum."

Kesilapan wujud dalam ciri keselamatan SmartScreen Edge

Caballero berkata bahawa bug keselamatan wujud dalam ciri keselamatan SmartScreen Edge, sambil menambah bahawa kecacatan itu hanya unik untuk Edge. SmartScreen berfungsi untuk mengesan URL pemuat turun dan pemancingan oleh pemacu supaya ia memaparkan peringatan keselamatan di dalam tetingkap penyemak imbas.

Mesej amaran berada di protokol pemasangan Edge ms-appx: dan ms-appx-web. Edge menggunakan protokol ini untuk menunjukkan mesej amaran apabila penyemak imbas mengesan tapak penyiaran phishing atau malware.

Penyelidik keselamatan menjelaskan bahawa kecacatan itu bukan sahaja membolehkan hacker untuk mengekstrak protokol dan menyesuaikan mesej amaran, tetapi ia juga membolehkan penjahat cyber menipu URL dalam bar alamat Edge. Penipu juga boleh menambah hash dan menempa halaman penipuan sokongan teknikal supaya spoofing itu kelihatan sahih. Begitu juga, pengguna yang tidak curiga akan berfikir laman web yang mereka lawati adalah sah, padahal sebenarnya ia ditipu.

Kerentanan ini boleh berfungsi sebagai alat yang berkesan untuk penipu sokongan teknikal untuk menutup serangan mereka dengan URL yang sah. Juga, pada masa ini tiada masalah untuk kecacatan tersebut, menurut Caballero, yang mendakwa Microsoft mengabaikan laporannya pada masa lalu.

Baca juga:

• Bagaimana untuk menghilangkan penipuan sokongan teknikal pop-up dalam Windows
• Micorsoft memberi amaran pengguna Hicurdismos, penipuan 'sokongan teknikal telefon'
• Microsoft Edge menyokong Windows Defender Guard untuk keselamatan yang lebih baik