Создайте инструмент, чтобы остановить веб-мошенников

Я думаю, что есть две важные причины для обучения взлому: чтобы получить доступ к контенту или чтобы предотвратить доступ злоумышленников к контенту. В этой статье я хочу показать вам, как защитить контент, создав расширение Chrome, которое предупреждает пользователя, если он находится на безопасном сайте для ввода своей информации.

Проблема

Вы когда-нибудь слышали об спуфинге веб-сайтов? В случае, если вы этого не сделали, это акт создания веб-сайта, который выглядит и ощущается как другой. Нетрудно получить исходный код веб-страницы с помощью Chrome или даже использовать инструменты разработчика Chrome, чтобы увидеть сетевые запросы, Javascript и так далее.

Таким образом, причина создания чего-то подобного заключается в краже учетных данных пользователя или кредитных карт. Например, злоумышленник заходит на веб-сайт банка, копирует страницу, а затем создает клон веб-сайта, на котором вы обычно размещаете свои учетные данные. Затем использование фишинга может заставить вас зайти на веб-сайт и в конечном итоге получить вашу информацию.

Есть несколько способов избежать этого, например:

• Убедитесь, что URL-адрес веб-сайта, на котором вы находитесь, является тем, чему вы доверяете.
• В URL-адресе указано httpS, а не просто http, поэтому ваши учетные данные не передаются в виде обычного текста.
• Убедитесь, что вы получаете доступ к веб-сайтам с помощью Google.
• Посмотрите на значок замка рядом с адресной строкой (слева).

Есть еще несколько, например, проверка качества веб-сайта, но проблема со всеми рекомендациями, которые я могу дать, заключается в том, что они не очень хорошо работают для нетехнических людей. Это трудно объяснить, особенно с пожилыми людьми, поэтому они чаще становятся жертвами этого вида мошенничества.

Решение

Давайте создадим расширение для Chrome, которое позволит вам определять, находитесь ли вы на безопасном веб-сайте. Чтобы создать это расширение Chrome, нам нужно создать всего три файла:

• manifest.json
• контент.js
• фон.js

Я поместил все в папку с именем detector.

Кроме того, нам потребуются два значка, которые будут отображаться, когда вы находитесь на безопасном веб-сайте или нет:

Ваша папка со всем содержимым должна выглядеть так:

Теперь давайте добавим содержимое каждого файла:

Сначала откройте manifest.json и добавьте следующее:

{
    "manifest_version": 2,
    "name": "Domain Safety Checker",
    "description": "Alerts user when accessing a list of domains",
    "version": "1.0",
    "permissions": [
        "tabs",
        "https://*/*"
    ],
    "background": {
        "scripts": [
            "background.js"
        ],
        "persistent": false
    },
    "content_scripts": [{
        "matches": ["<all_urls>"],
        "js": ["content.js"]
    }],
    "browser_action": {
        "default_title": "Domain Safety Checker"
    }
}

В Content.js должно быть следующее:

chrome.runtime.sendMessage({message: 'checkDomain', url: window.location.href});

И, наконец, background.js должен содержать это:

let domainList = ['www.bankofamerica.com','example.com'];

chrome.runtime.onMessage.addListener((request, sender, sendResponse) => {
  if (request.message === 'checkDomain') {
    let url = request.url;
    let domain = url.split('/')[2];
    if (domainList.includes(domain)) {
      chrome.browserAction.setIcon({path: 'icon-green.png', tabId: sender.tab.id});
    } else {
      chrome.browserAction.setIcon({path: 'icon-red.png', tabId: sender.tab.id});
    }
  }
});

Как вы можете видеть на последнем, у вас есть список веб-сайтов, которые вы определяете как «безопасные». В этом примере я добавил два, один для популярного банка, а другой просто для примера точка ком.

Вот и все! Наше расширение готово. Теперь нам просто нужно добавить его в Chrome.

Просто введите в строке URL chrome://extensions/
Вы должны быть в Google Chrome, и в результате вы увидите что-то вроде этого:

Здесь просто нажмите Загрузить распакованное и выберите всю папку с вашим плагином. В нашем случае мы назвали папку detector, просто щелкните ее, а затем нажмите кнопку выбора папки.

Если все прошло правильно, вы увидите плагин в списке расширений:

Убедитесь, что оно активировано, и мы готовы продолжить.
Перед тестированием было бы неплохо закрепить его рядом с адресной строкой в ​​Chrome. Это можно сделать, щелкнув параметр расширения в Chrome, который выглядит как кусочек головоломки:

Когда вы закрепите его, вы увидите расширение. В нашем случае это тот, на который указывает стрелка.

Теперь пришло время протестировать его. Помните, что этот плагин будет отображать зеленый значок, если мы находимся на URL-адресе в нашем массиве domainList. Итак, я начну с сайта medium.com, которого нет в списке:

Пока это работает, теперь давайте попробуем с двумя другими доменами в списке:

Идеальный! это работает с нашими двумя примерами, если вы хотите добавить больше сайтов, вам просто нужно изменить список доменов. Если ваш веб-сайт является общей целью для хакеров, вы можете предложить подобное расширение с помощью Интернет-магазина Chrome или, может быть, вы можете просто установить его в своем браузере, чтобы защитить своих близких от мошенников, поэтому я создал это.