Ключови изводи
- Изследовател по сигурността е измислил начин да създаде много убедителни, но фалшиви изскачащи прозорци за единично влизане.
- Фалшивите изскачащи прозорци използват законни URL адреси, за да изглеждат по-нататък истински.
- Трикът демонстрира, че хората, които използват само пароли, ще бъдат откраднати идентификационните си данни рано или късно, предупреждават експерти.
Навигирането в мрежата става все по-трудно всеки ден.
Повечето уебсайтове в наши дни предлагат множество опции за създаване на акаунт. Можете или да се регистрирате в уебсайта, или да използвате механизма за единично влизане (SSO), за да влезете в уебсайта, като използвате съществуващите си акаунти в реномирани компании като Google, Facebook или Apple. Изследовател по киберсигурност се възползва от това и изобрети нов механизъм за кражба на вашите идентификационни данни за вход чрез създаване на практически неоткриваем фалшив прозорец за влизане в SSO.
„Нарастващата популярност на SSO осигурява много ползи за [хората],“Скот Хигинс, директор по инженерството в Dispersive Holdings, Inc каза пред Lifewire по имейл. „Въпреки това, умни хакери сега се възползват от този маршрут по гениален начин.“
Фалшив вход
Традиционно нападателите са използвали тактики като хомографски атаки, които заменят някои от буквите в оригиналния URL адрес с подобни на вид знаци, за да създадат нови, трудни за откриване злонамерени URL адреси и фалшиви страници за вход.
Въпреки това, тази стратегия често се проваля, ако хората внимателно проучат URL адреса. Индустрията за киберсигурност отдавна съветва хората да проверяват URL лентата, за да се уверят, че показва правилния адрес и има зелен катинар до него, което сигнализира, че уеб страницата е защитена.
„Всичко това в крайна сметка ме накара да се замисля дали е възможно да направя съвета „Проверете URL адреса“по-малко надежден? След седмица мозъчна атака реших, че отговорът е „да“, пише анонимният изследовател, който използва псевдонимът, mr.d0x.
Създадената от mr.d0x атака, наречена браузър в браузъра (BitB), използва трите основни градивни елемента на уеб-HTML, каскадни стилови таблици (CSS) и JavaScript, за да създаде фалшив Изскачащ прозорец за SSO, който по същество е неразличим от истинския.
"Фалшивата URL лента може да съдържа всичко, което пожелае, дори привидно валидни местоположения. Освен това, модификациите на JavaScript го правят така, че задържането на мишката върху връзката или бутона за влизане също ще изскачат привидно валидна URL дестинация, " добави Хигинс, след като прегледа г-н. механизмът на d0x.
За да демонстрира BitB, mr.d0x създаде фалшива версия на онлайн платформата за графичен дизайн Canva. Когато някой щракне, за да влезе във фалшивия сайт, като използва опцията SSO, уебсайтът изскача изработения от BitB прозорец за вход с легитимния адрес на фалшивия доставчик на SSO, като Google, за да подмами посетителя да въведе своите идентификационни данни за вход, които са след което се изпраща на нападателите.
Техниката е впечатлила няколко уеб разработчици. „О, това е гадно: Browser In The Browser (BITB) Attack, нова фишинг техника, която позволява кражба на идентификационни данни, които дори уеб професионалистът не може да открие“, написа в Twitter Франсоа Заниното, главен изпълнителен директор на компанията за уеб и мобилно развитие Marmelab.
Виж къде отиваш
Въпреки че BitB е по-убедителен от обикновените фалшиви прозорци за влизане, Хигинс сподели няколко съвета, които хората могат да използват, за да се защитят.
За начало, въпреки че изскачащият прозорец на BitB SSO изглежда като законен изскачащ прозорец, той всъщност не е такъв. Ето защо, ако хванете адресната лента на този изскачащ прозорец и се опитате да го плъзнете, той няма да се премести отвъд ръба на главния прозорец на уебсайта, за разлика от истински изскачащ прозорец, който е напълно независим и може да бъде преместен във всеки част от работния плот.
Higgins сподели, че тестването на легитимността на SSO прозореца с помощта на този метод няма да работи на мобилно устройство.„Тук [многофакторното удостоверяване] или използването на опции за удостоверяване без парола наистина може да бъде полезно. Дори и да сте станали жертва на BitB атаката, [измамниците] не е задължително да могат [да използват вашите откраднати идентификационни данни] без другите части от процедурата за влизане в MFA“, предложи Хигинс.
Интернет не е нашият дом. Това е обществено пространство. Трябва да проверим какво посещаваме.
Освен това, тъй като това е фалшив прозорец за влизане, мениджърът на пароли (ако използвате такъв) няма да попълни автоматично идентификационните данни, което отново ви дава пауза, за да забележите нещо нередно.
Също така е важно да запомните, че докато изскачащият прозорец BitB SSO е трудно забележим, той все пак трябва да бъде стартиран от злонамерен сайт. За да видите изскачащ прозорец като този, вече трябва да сте на фалшив уебсайт.
Ето защо, завършвайки кръга, Адриен Жандре, главен технически и продуктов директор във Vade Secure, предлага на хората да гледат URL адресите всеки път, когато кликнат върху връзка.
"По същия начин, по който проверяваме номера на вратата, за да сме сигурни, че ще се озовем в правилната хотелска стая, хората винаги трябва да преглеждат набързо URL адресите, когато разглеждат уебсайт. Интернет не е нашият дом. Това е обществено пространство. Трябва да проверяваме какво посещаваме ", подчерта Жандре.
