Pagrindiniai pasiėmimai
- Saugumo tyrinėtojas sugalvojo būdą sukurti labai įtikinamus, bet netikrus vieno prisijungimo iššokančiuosius langus.
- Netikruose iššokančiuose languose naudojami teisėti URL, kad jie toliau atrodytų tikri.
- Šis triukas parodo, kad vien slaptažodžius naudojančių žmonių prisijungimo duomenys anksčiau ar vėliau bus pavogti, įspėja ekspertai.
Naršymas žiniatinklyje kasdien tampa vis sudėtingesnis.
Šiomis dienomis daugumoje svetainių siūlomos kelios paskyros kūrimo parinktys. Galite užsiregistruoti svetainėje arba naudoti vienkartinio prisijungimo (SSO) mechanizmą, kad prisijungtumėte prie svetainės naudodami turimas paskyras patikimose įmonėse, pvz., „Google“, „Facebook“ar „Apple“. Kibernetinio saugumo tyrinėtojas tuo pasinaudojo ir sukūrė naują mechanizmą, kaip pavogti jūsų prisijungimo duomenis, sukurdamas praktiškai neaptinkamą netikrą SSO prisijungimo langą.
„Didėjantis SSO populiarumas [žmonėms] suteikia daug naudos“, – el. paštu Lifewire sakė Scottas Higginsas, Dispersive Holdings, Inc. inžinerijos direktorius. "Tačiau šiuo metu sumanūs įsilaužėliai išradingai naudojasi šiuo keliu."
Netikras prisijungimas
Tradiciškai užpuolikai taiko tokias taktikas kaip homografų atakos, kai kai kurios pradinio URL raidės pakeičiamos panašiai atrodančiais simboliais, kad sukurtų naujus, sunkiai pastebimus kenkėjiškus URL ir netikrus prisijungimo puslapius.
Tačiau ši strategija dažnai žlunga, jei žmonės atidžiai išnagrinėja URL. Kibernetinio saugumo pramonė jau seniai rekomendavo žmonėms patikrinti URL juostą, kad įsitikintų, jog joje nurodytas tinkamas adresas, o šalia yra žalia spynelė, rodanti, kad tinklalapis yra saugus.
"Visa tai galiausiai privertė mane susimąstyti, ar įmanoma patarimą "Patikrinkite URL" padaryti mažiau patikimą? Po savaitės minčių šturmo nusprendžiau, kad atsakymas yra teigiamas", - rašė anoniminis tyrinėtojas, pseudonimas, mr.d0x.
Sukurta mr.d0x ataka, pavadinta naršyklė naršyklėje (BitB), naudoja tris pagrindinius žiniatinklio HTML blokus, pakopinius stilių lapus (CSS) ir „JavaScript“, kad sukurtų netikrą. SSO iššokantis langas, kuris iš esmės nesiskiria nuo tikrojo.
"Netikros URL juostoje gali būti visko, ko tik nori, net ir iš pažiūros galiojančių vietų. Be to, "JavaScript" modifikacijos padaro ją taip, kad užvedus pelės žymeklį ant nuorodos arba prisijungimo mygtuko būtų rodoma ir iš pažiūros tinkama URL paskirties vieta ", - pridūrė Higginsas ištyręs p. d0x mechanizmas.
Norėdamas parodyti BitB, mr.d0x sukūrė netikrą internetinės grafinio dizaino platformos Canva versiją. Kai kas nors spusteli, kad prisijungtų prie netikros svetainės naudodamas SSO parinktį, svetainė iššoka „BitB“sukurtas prisijungimo langas su teisėtu suklastoto SSO teikėjo, pvz., „Google“, adresu, kad apgautų lankytoją įvesti savo prisijungimo kredencialus, kurie yra paskui išsiųstas užpuolikams.
Ši technika padarė įspūdį keliems žiniatinklio kūrėjams. „Oi, tai bjauru: „Browser In The Browser“(BITB) ataka, nauja sukčiavimo technika, leidžianti pavogti kredencialus, kurių negali aptikti net žiniatinklio profesionalas“, – socialiniame tinkle „Twitter“rašė žiniatinklio ir mobiliųjų įrenginių kūrimo įmonės „Marmelab“generalinis direktorius François Zaninotto.
Pažiūrėk, kur eini
Nors BitB yra įtikinamesnis nei paleisti-of-the-mill netikri prisijungimo langai, Higginsas pasidalino keliais patarimais, kuriais žmonės gali apsisaugoti.
Pirmiesiems, nepaisant to, kad BitB SSO iššokantis langas atrodo kaip teisėtas iššokantis langas, taip tikrai nėra. Todėl, jei patrauksite šio iššokančiojo lango adreso juostą ir bandysite ją vilkti, ji nejudės už pagrindinio svetainės lango krašto, kitaip nei tikras iššokantis langas, kuris yra visiškai nepriklausomas ir gali būti perkeltas į bet kurį darbalaukio dalis.
Higginsas pasidalijo, kad SSO lango teisėtumo patikrinimas naudojant šį metodą neveiks mobiliajame įrenginyje.„Čia tikrai gali būti naudinga [kelių faktorių autentifikavimas] arba autentifikavimo be slaptažodžio parinkčių naudojimas. Net jei ir taptumėte BitB atakos aukomis, [sukčiai] nebūtinai galėtų [naudoti jūsų pavogtus kredencialus] be kitos MFA prisijungimo tvarkos dalys“, – pasiūlė Higginsas.
Internetas nėra mūsų namai. Tai viešoji erdvė. Turime patikrinti, ką lankome.
Be to, kadangi tai yra netikras prisijungimo langas, slaptažodžių tvarkyklė (jei ją naudojate) automatiškai neužpildys kredencialų ir vėl leis jums pristabdyti, kad pastebėtumėte kažką negerai.
Taip pat svarbu atsiminti, kad nors BitB SSO iššokantįjį langą sunku pastebėti, jis vis tiek turi būti paleistas iš kenkėjiškos svetainės. Kad matytumėte tokį iššokantįjį langą, jau turėjote būti netikroje svetainėje.
Štai kodėl Adrienas Gendre, „Vade Secure“vyriausiasis technologijų ir produktų pareigūnas, siūlo žmonėms kiekvieną kartą spustelėjus nuorodą peržiūrėti URL.
Taip pat, kaip tikriname numerį ant durų, kad įsitikintume, jog patenkame į reikiamą viešbučio kambarį, žmonės, naršydami svetainėje, visada turėtų greitai pažvelgti į URL adresus. Internetas nėra mūsų namai. Tai vieša erdvė. Turime patikrinti, ką lankome“, – pabrėžė Gendre.
