Kľúčové poznatky
- Bezpečnostný výskumník vymyslel spôsob, ako vytvoriť veľmi presvedčivé, ale falošné kontextové okná prihlásenia jedným prihlásením.
- Falošné kontextové okná používajú legitímne adresy URL, aby vyzerali ako pravé.
- Trik ukazuje, že ľuďom, ktorí používajú iba heslá, budú skôr či neskôr odcudzené prihlasovacie údaje, varujú odborníci.
Navigácia na webe je každým dňom zložitejšia.
Väčšina webových stránok v súčasnosti ponúka viacero možností vytvorenia účtu. Môžete sa buď zaregistrovať na webovej lokalite, alebo použiť mechanizmus jednotného prihlásenia (SSO) na prihlásenie na webovú lokalitu pomocou svojich existujúcich účtov u renomovaných spoločností, ako sú Google, Facebook alebo Apple. Výskumník v oblasti kybernetickej bezpečnosti to využil a vymyslel nový mechanizmus na ukradnutie vašich prihlasovacích údajov vytvorením prakticky nezistiteľného falošného prihlasovacieho okna SSO.
„Rastúca popularita SSO poskytuje [ľudom] veľa výhod,“povedal Scott Higgins, riaditeľ inžinierstva v Dispersive Holdings, Inc. "Šikovní hackeri však teraz využívajú túto cestu dômyselným spôsobom."
Falošné prihlásenie
Útočníci tradične používajú taktiky, ako sú homografné útoky, ktoré nahrádzajú niektoré písmená v pôvodnej adrese URL podobne vyzerajúcimi znakmi, aby vytvorili nové, ťažko rozpoznateľné škodlivé adresy URL a falošné prihlasovacie stránky.
Táto stratégia sa však často rozpadne, ak ľudia dôkladne preskúmajú adresu URL. Odvetvie kybernetickej bezpečnosti už dlho odporúča ľuďom, aby skontrolovali panel s adresou URL, aby sa uistili, že je na ňom uvedená správna adresa a vedľa ktorého je zelený visiaci zámok, ktorý signalizuje, že webová stránka je bezpečná.
"Toto všetko ma nakoniec priviedlo k myšlienke, je možné, aby bola rada 'Skontrolujte URL' menej spoľahlivá? Po týždni brainstormingu som sa rozhodol, že odpoveď je áno," napísal anonymný výskumník, ktorý používa pseudonym, mr.d0x.
Útok, ktorý vytvoril mr.d0x s názvom browser-in-the-browser (BitB), využíva tri základné stavebné bloky web-HTML, kaskádové štýly (CSS) a JavaScript na vytvorenie falošného Vyskakovacie okno SSO, ktoré je v podstate na nerozoznanie od skutočnej veci.
"Falošný panel s adresou URL môže obsahovať čokoľvek, čo chce, dokonca aj zdanlivo platné miesta. Úpravy v jazyku JavaScript navyše umožňujú, že po umiestnení kurzora myši na odkaz alebo tlačidlo prihlásenia sa zobrazí aj zdanlivo platná cieľová adresa URL," dodal Higgins po vyšetrení p. mechanizmus d0x.
Na demonštráciu BitB vytvoril mr.d0x falošnú verziu online platformy pre grafický dizajn Canva. Keď niekto klikne, aby sa prihlásil na falošnú stránku pomocou možnosti SSO, stránka zobrazí prihlasovacie okno vytvorené BitB s legitímnou adresou falošného poskytovateľa SSO, ako je Google, aby návštevníka oklamala, aby zadal svoje prihlasovacie údaje, ktoré sú potom poslal útočníkom.
Táto technika zapôsobila na niekoľkých webových vývojárov. „Och, to je škaredé: Browser In The Browser (BITB) Attack, nová phishingová technika, ktorá umožňuje kradnúť poverenia, ktoré ani webový profesionál nedokáže odhaliť,“napísal na Twitter François Zaninotto, generálny riaditeľ spoločnosti Marmelab, ktorá sa zaoberá vývojom webu a mobilných zariadení.
Pozrite sa, kam idete
Zatiaľ čo BitB je presvedčivejšie ako zabehnuté falošné prihlasovacie okná, Higgins sa podelil o niekoľko tipov, ktoré môžu ľudia použiť na svoju ochranu.
Na začiatok, napriek tomu, že kontextové okno BitB SSO vyzerá ako legitímne kontextové okno, v skutočnosti to tak nie je. Ak teda uchopíte panel s adresou tohto kontextového okna a pokúsite sa ho presunúť, neposunie sa za okraj hlavného okna webovej stránky, na rozdiel od skutočného kontextového okna, ktoré je úplne nezávislé a možno ho presunúť do ľubovoľného časť pracovnej plochy.
Higgins povedal, že testovanie legitimity okna SSO pomocou tejto metódy by na mobilnom zariadení nefungovalo."V tomto môže byť [viacfaktorová autentifikácia] alebo použitie možností autentifikácie bez hesla skutočne užitočné. Aj keby ste sa stali obeťou útoku BitB, [podvodníci] by nevyhnutne nemohli [použiť vaše ukradnuté prihlasovacie údaje] bez ostatné časti prihlasovacej rutiny MFA,“navrhol Higgins.
Internet nie je náš domov. Je to verejný priestor. Musíme skontrolovať, čo navštevujeme.
Keďže ide o falošné prihlasovacie okno, správca hesiel (ak ho používate) automaticky nevyplní prihlasovacie údaje, čo vám opäť poskytne pauzu, aby ste si všimli, že niečo nie je v poriadku.
Je tiež dôležité pamätať na to, že aj keď je vyskakovacie okno BitB SSO ťažké rozpoznať, stále musí byť spustené zo škodlivého webu. Aby ste videli takéto kontextové okno, museli by ste byť na falošnej webovej stránke.
Toto je dôvod, prečo Adrien Gendre, technický a produktový riaditeľ spoločnosti Vade Secure, po vyplnení všetkých kruhov navrhuje ľuďom, aby sa pozreli na adresy URL zakaždým, keď kliknú na odkaz.
Rovnakým spôsobom, akým kontrolujeme číslo na dverách, aby sme sa uistili, že skončíme v správnej hotelovej izbe, by si ľudia mali pri prehliadaní webových stránok vždy rýchlo pozrieť adresy URL. Internet nie je náš domov. Je to verejný priestor. Musíme skontrolovať, čo navštevujeme,“zdôraznil Gendre.
