A legfontosabb elvitelek
- Egy biztonsági kutató kidolgozott egy módszert, amellyel nagyon meggyőző, de hamis egyszeri bejelentkezési előugró ablakokat hozhat létre.
- A hamis előugró ablakok legitim URL-eket használnak, hogy még inkább valódinak tűnjenek.
- A trükk azt bizonyítja, hogy az egyedül jelszavakat használóktól előbb-utóbb ellopják a hitelesítő adataikat – figyelmeztetik a szakértőket.
Az interneten való navigálás napról napra bonyolultabb.
A legtöbb webhely manapság többféle lehetőséget kínál fiók létrehozására. Regisztrálhat a webhelyen, vagy használhatja az egyszeri bejelentkezési (SSO) mechanizmust, hogy bejelentkezzen a webhelyre olyan jó hírű cégeknél meglévő fiókjaival, mint a Google, a Facebook vagy az Apple. Egy kiberbiztonsági kutató kihasználta ezt, és új mechanizmust dolgozott ki a bejelentkezési adatok ellopására egy gyakorlatilag észlelhetetlen hamis SSO bejelentkezési ablak létrehozásával.
"Az SSO növekvő népszerűsége számos előnnyel jár [az embereknek]" - mondta Scott Higgins, a Dispersive Holdings, Inc. műszaki igazgatója a Lifewire-nek e-mailben. "Azonban az okos hackerek most zseniális módon használják ki ezt az utat."
Hamis bejelentkezés
Hagyományosan a támadók olyan taktikákat alkalmaznak, mint például a homográf támadások, amelyek az eredeti URL-ben szereplő betűk egy részét hasonló karakterekre cserélik, hogy új, nehezen észrevehető rosszindulatú URL-eket és hamis bejelentkezési oldalakat hozzanak létre.
Azonban ez a stratégia gyakran összeomlik, ha az emberek alaposan megvizsgálják az URL-t. A kiberbiztonsági ipar már régóta azt tanácsolta az embereknek, hogy ellenőrizzék az URL-sávot, hogy megbizonyosodjanak arról, hogy a megfelelő cím szerepel, és mellette van egy zöld lakat, amely jelzi, hogy a weboldal biztonságos.
"Mindez végül arra késztetett, hogy elgondolkodjak, vajon lehetséges-e kevésbé megbízhatóvá tenni az "Ellenőrizze az URL-t" tanácsot? Egy hét fejtörés után úgy döntöttem, hogy a válasz igen" - írta a névtelen kutató, aki az álnév, mr.d0x.
Az mr.d0x által létrehozott támadás, a böngésző-in-the-browser (BitB), a web-HTML három alapvető építőelemét, a lépcsőzetes stíluslapokat (CSS) és a JavaScriptet használja fel hamisítvány létrehozására. Egyszeri bejelentkezés előugró ablak, amely lényegében megkülönböztethetetlen a valóditól.
"A hamis URL-sáv bármit tartalmazhat, amit csak akar, még az érvényesnek tűnő helyeket is. Ezenkívül a JavaScript-módosítások lehetővé teszik, hogy a linkre vagy a bejelentkezési gombra lebegve egy érvényesnek tűnő URL-cím is megjelenjen" Higgins, miután megvizsgálta mr. d0x mechanizmusa.
A BitB bemutatására az mr.d0x elkészítette az online grafikai tervezési platform, a Canva hamis verzióját. Amikor valaki rákattint, hogy bejelentkezzen a hamis webhelyre az egyszeri bejelentkezési lehetőség használatával, a webhely felugrik a BitB által készített bejelentkezési ablak a meghamisított SSO-szolgáltató, például a Google jogos címével, hogy rávegye a látogatót a bejelentkezési hitelesítő adatainak megadására. majd a támadókhoz küldték.
A technika számos webfejlesztőt lenyűgözött. "Ó, ez csúnya: Browser In The Browser (BITB) Attack, egy új adathalász technika, amely lehetővé teszi olyan hitelesítő adatok ellopását, amelyeket még egy webes szakember sem észlel" - írta François Zaninotto, a Marmelab web- és mobilfejlesztő cég vezérigazgatója a Twitteren.
Nézd, hová mész
Míg a BitB meggyőzőbb, mint a kifutó hamis bejelentkezési ablakok, Higgins megosztott néhány tippet, amellyel az emberek megvédhetik magukat.
Elsőként, annak ellenére, hogy a BitB SSO előugró ablak legitim előugró ablaknak tűnik, valójában nem az. Ezért ha megragadja ennek az előugró ablaknak a címsorát, és megpróbálja húzni, az nem fog túllépni a fő webhely ablakának szélén, ellentétben egy valódi előugró ablakkal, amely teljesen független, és bármely helyre áthelyezhető. az asztal része.
Higgins megosztotta, hogy az egyszeri bejelentkezési ablak legitimitásának tesztelése ezzel a módszerrel nem működne mobileszközön."Ez az a hely, ahol a [többtényezős hitelesítés] vagy a jelszó nélküli hitelesítési lehetőségek használata valóban hasznos lehet. Még ha a BitB támadás áldozata is lett volna, [a csalók] nem feltétlenül tudnák [használni az ellopott hitelesítő adatait] az MFA bejelentkezési rutinjának többi része” – javasolta Higgins.
Az internet nem az otthonunk. Ez egy nyilvános tér. Meg kell néznünk, hogy mit látogatunk.
Ezenkívül, mivel ez egy hamis bejelentkezési ablak, a jelszókezelő (ha használ ilyet) nem tölti ki automatikusan a hitelesítő adatokat, így ismét szünetet ad, hogy észrevegye, hogy valami nincs rendben.
Azt is fontos megjegyezni, hogy bár a BitB SSO felugró ablakot nehéz észrevenni, akkor is rosszindulatú webhelyről kell elindítani. Ahhoz, hogy egy ilyen előugró ablakot láthasson, már hamis webhelyen kellett volna lennie.
Ezért a teljes körben Adrien Gendre, a Vade Secure műszaki és termékigazgatója azt javasolja, hogy az emberek minden alkalommal nézzék meg az URL-eket, amikor egy linkre kattintanak.
"Ugyanúgy, ahogy az ajtón lévő számot ellenőrizzük, hogy megbizonyosodjunk arról, hogy a megfelelő szállodai szobába kerülünk, az embereknek mindig gyorsan meg kell nézniük az URL-eket a webhelyek böngészésekor. Az internet nem az otthonunk. Ez egy nyilvános tér. Meg kell nézni, hogy mit látogatunk" - hangsúlyozta Gendre.
