Kluczowe dania na wynos
- Badacz bezpieczeństwa opracował sposób na stworzenie bardzo przekonujących, ale fałszywych wyskakujących okienek logowania jednokrotnego logowania.
- Fałszywe wyskakujące okienka używają legalnych adresów URL, aby wyglądać na autentyczne.
- Sztuczka pokazuje, że osobom używającym samych haseł prędzej czy później zostaną skradzione dane uwierzytelniające, ostrzegają eksperci.
Poruszanie się po sieci staje się coraz trudniejsze każdego dnia.
W dzisiejszych czasach większość witryn internetowych oferuje wiele opcji tworzenia konta. Możesz zarejestrować się w serwisie lub skorzystać z mechanizmu jednokrotnego logowania (SSO), aby zalogować się do serwisu przy użyciu istniejących kont w renomowanych firmach, takich jak Google, Facebook czy Apple. Badacz cyberbezpieczeństwa wykorzystał to i opracował nowatorski mechanizm kradzieży danych logowania, tworząc praktycznie niewykrywalne fałszywe okno logowania SSO.
„Rosnąca popularność SSO zapewnia [ludziom] wiele korzyści” – powiedział Lifewire Scott Higgins, dyrektor ds. inżynierii w Dispersive Holdings, Inc. „Jednak sprytni hakerzy wykorzystują teraz tę trasę w pomysłowy sposób”.
Fałszywe logowanie
Tradycyjnie napastnicy stosowali taktyki, takie jak ataki homografów, które zastępują niektóre litery w oryginalnym adresie URL podobnie wyglądającymi znakami, aby tworzyć nowe, trudne do wykrycia złośliwe adresy URL i fałszywe strony logowania.
Jednak strategia ta często się rozpada, jeśli ludzie dokładnie sprawdzają adres URL. Branża cyberbezpieczeństwa od dawna radzi ludziom, aby sprawdzali pasek adresu URL, aby upewnić się, że zawiera on właściwy adres i ma obok niego zieloną kłódkę, która sygnalizuje, że strona jest bezpieczna.
„Wszystko to skłoniło mnie do zastanowienia się, czy można sprawić, że porada „Sprawdź adres URL” będzie mniej wiarygodna? Po tygodniu burzy mózgów zdecydowałem, że odpowiedź brzmi „tak” – napisał anonimowy badacz, który używa pseudonim, pan.d0x.
Atak stworzony przez mr.d0x, nazwany przeglądarka w przeglądarce (BitB), wykorzystuje trzy podstawowe bloki konstrukcyjne HTML, kaskadowe arkusze stylów (CSS) i JavaScript, aby stworzyć fałszywe Wyskakujące okienko logowania jednokrotnego, którego zasadniczo nie da się odróżnić od prawdziwego.
Dodaj Higgins po zbadaniu mr. mechanizm d0x.
Aby zademonstrować BitB, mr.d0x stworzył fałszywą wersję internetowej platformy projektowania graficznego Canva. Gdy ktoś kliknie, aby zalogować się na fałszywą witrynę za pomocą opcji SSO, witryna wyświetli okno logowania stworzone przez BitB z prawidłowym adresem sfałszowanego dostawcy SSO, takiego jak Google, aby nakłonić użytkownika do wprowadzenia danych logowania, które są następnie wysłane do atakujących.
Ta technika zrobiła wrażenie na kilku programistach internetowych. „Och, to paskudne: atak Browser In The Browser (BITB), nowa technika phishingu, która umożliwia kradzież danych uwierzytelniających, których nie jest w stanie wykryć nawet profesjonalista sieciowy” - napisał na Twitterze François Zaninotto, dyrektor generalny firmy Marmelab zajmującej się tworzeniem witryn internetowych i urządzeń mobilnych.
Patrz, dokąd zmierzasz
Podczas gdy BitB jest bardziej przekonujący niż zwykłe fałszywe okna logowania, Higgins podzielił się kilkoma wskazówkami, które ludzie mogą wykorzystać, aby się chronić.
Na początek, mimo że wyskakujące okienko BitB SSO wygląda jak prawdziwe wyskakujące okienko, tak naprawdę nie jest. Dlatego, jeśli chwycisz pasek adresu tego wyskakującego okienka i spróbujesz go przeciągnąć, nie przesunie się on poza krawędź głównego okna witryny, w przeciwieństwie do prawdziwego wyskakującego okna, które jest całkowicie niezależne i można je przenieść do dowolnego część pulpitu.
Higgins powiedział, że testowanie zasadności okna logowania jednokrotnego przy użyciu tej metody nie zadziała na urządzeniu mobilnym.„W tym miejscu [uwierzytelnianie wieloskładnikowe] lub korzystanie z opcji uwierzytelniania bez hasła może być naprawdę pomocne. Nawet jeśli padłeś ofiarą ataku BitB, [oszuści] niekoniecznie byliby w stanie [użyć skradzionych danych uwierzytelniających] bez inne części procedury logowania MFA”, zasugerował Higgins.
Internet nie jest naszym domem. To przestrzeń publiczna. Musimy sprawdzić, co zwiedzamy.
Ponadto, ponieważ jest to fałszywe okno logowania, menedżer haseł (jeśli go używasz) nie będzie automatycznie wprowadzał danych uwierzytelniających, co ponownie pozwala zatrzymać się, aby zauważyć coś nie w porządku.
Ważne jest również, aby pamiętać, że chociaż wyskakujące okienko BitB SSO jest trudne do wykrycia, nadal musi zostać uruchomione ze złośliwej witryny. Aby zobaczyć takie wyskakujące okienko, musiałbyś już być na fałszywej stronie.
Dlatego, zataczając koło, Adrien Gendre, Chief Tech and Product Officer w Vade Secure, sugeruje ludziom, aby za każdym razem, gdy klikną link, sprawdzali adresy URL.
W ten sam sposób, w jaki sprawdzamy numer na drzwiach, aby upewnić się, że trafimy do właściwego pokoju hotelowego, ludzie powinni zawsze szybko sprawdzić adresy URL podczas przeglądania witryny. Internet nie jest naszym domem. To przestrzeń publiczna. Musimy sprawdzić, co zwiedzamy” – podkreślił Gendre.