Klíčové poznatky
- Bezpečnostní výzkumník vymyslel způsob, jak vytvořit velmi přesvědčivá, ale falešná vyskakovací okna pro přihlášení s jediným přihlášením.
- Falešná vyskakovací okna používají legitimní adresy URL, aby vypadala jako pravá.
- Trik ukazuje, že lidem, kteří používají pouze hesla, budou jejich přihlašovací údaje dříve nebo později odcizeny, varují odborníci.
Navigace na webu je každým dnem složitější.
Většina webových stránek v dnešní době nabízí více možností, jak si vytvořit účet. Můžete se buď zaregistrovat na webu, nebo použít mechanismus jednotného přihlášení (SSO) k přihlášení na web pomocí svých stávajících účtů u renomovaných společností, jako je Google, Facebook nebo Apple. Výzkumník v oblasti kybernetické bezpečnosti toho využil a vymyslel nový mechanismus, jak ukrást vaše přihlašovací údaje vytvořením prakticky nezjistitelného falešného přihlašovacího okna SSO.
„Rostoucí popularita SSO poskytuje [lidem] spoustu výhod,“řekl Lifewire e-mailem Scott Higgins, ředitel inženýrství společnosti Dispersive Holdings, Inc. "Nicméně chytří hackeři nyní tuto cestu využívají důmyslným způsobem."
Falešné přihlášení
Útočníci tradičně používají taktiky jako homografní útoky, které nahrazují některá písmena v původní adrese URL podobně vypadajícími znaky, aby vytvořili nové, těžko odhalitelné škodlivé adresy URL a falešné přihlašovací stránky.
Tato strategie se však často rozpadne, pokud lidé pečlivě prozkoumají adresu URL. Odvětví kybernetické bezpečnosti lidem již dlouho radí, aby zkontrolovali řádek URL, aby se ujistili, že je na něm uvedena správná adresa a vedle něj je zelený visací zámek, který signalizuje, že webová stránka je zabezpečená.
"To vše mě nakonec přivedlo k zamyšlení, je možné učinit radu 'Zkontrolujte URL' méně spolehlivou? Po týdnu brainstormingu jsem se rozhodl, že odpověď je ano," napsal anonymní výzkumník, který používá pseudonym, mr.d0x.
Útok vytvořený mr.d0x s názvem browser-in-the-browser (BitB) využívá tři základní stavební bloky webového HTML, kaskádových stylů (CSS) a JavaScriptu k vytvoření falešného Vyskakovací okno jednotného přihlášení, které je v podstatě k nerozeznání od skutečné věci.
"Lišta s falešnou adresou URL může obsahovat cokoli, co chce, dokonce i zdánlivě platná umístění. Úpravy JavaScriptu navíc umožňují, aby se při umístění kurzoru na odkaz nebo tlačítko přihlášení zobrazila i zdánlivě platná cílová adresa URL," dodal Higgins po vyšetření mr. Mechanismus d0x.
Pro demonstraci BitB vytvořil mr.d0x falešnou verzi online platformy pro grafický design Canva. Když někdo klikne, aby se přihlásil na falešný web pomocí možnosti SSO, web vyskočí přihlašovací okno vytvořené BitB s legitimní adresou falešného poskytovatele SSO, jako je Google, aby oklamal návštěvníka, aby zadal své přihlašovací údaje, které jsou pak poslal útočníkům.
Tato technika zapůsobila na několik webových vývojářů. „Ach, to je ošklivé: Browser In The Browser (BITB) Attack, nová phishingová technika, která umožňuje krást přihlašovací údaje, které ani webový profesionál nedokáže odhalit,“napsal na Twitter François Zaninotto, generální ředitel společnosti Marmelab pro vývoj webových a mobilních aplikací.
Podívejte se, kam jedete
Zatímco BitB je přesvědčivější než běžná falešná přihlašovací okna, Higgins sdílel několik tipů, které mohou lidé použít, aby se ochránili.
Pro začátek, přestože vyskakovací okno BitB SSO vypadá jako legitimní vyskakovací okno, ve skutečnosti tomu tak není. Pokud tedy uchopíte adresní řádek tohoto vyskakovacího okna a pokusíte se jej přetáhnout, nepřesune se za okraj hlavního okna webové stránky, na rozdíl od skutečného vyskakovacího okna, které je zcela nezávislé a lze jej přesunout do libovolného část plochy.
Higgins sdílel, že testování legitimity okna SSO pomocí této metody by na mobilním zařízení nefungovalo."To je místo, kde [vícefaktorová autentizace] nebo použití možností autentizace bez hesla mohou být skutečně užitečné. I kdybyste se stali obětí útoku BitB, [podvodníci] by nutně nemohli [použít vaše ukradené přihlašovací údaje] bez ostatní části přihlašovací rutiny MFA,“navrhl Higgins.
Internet není náš domov. Je to veřejný prostor. Musíme zkontrolovat, co jsme na návštěvě.
Jelikož se jedná o falešné přihlašovací okno, správce hesel (pokud jej používáte) automaticky nevyplní přihlašovací údaje, což vám opět poskytne pauzu, abyste si všimli, že je něco v nepořádku.
Je také důležité si uvědomit, že ačkoli je vyskakovací okno SSO BitB těžké rozpoznat, musí být stále spuštěno ze škodlivého webu. Abyste viděli vyskakovací okno jako toto, museli byste být na falešném webu.
To je důvod, proč Adrien Gendre, technický ředitel a produktový ředitel společnosti Vade Secure, po uzavření kruhu navrhuje, aby lidé sledovali adresy URL pokaždé, když kliknou na odkaz.
„Stejným způsobem, jakým kontrolujeme číslo na dveřích, abychom se ujistili, že skončíme ve správném hotelovém pokoji, by se lidé měli při procházení webových stránek vždy rychle podívat na adresy URL. Internet není náš domov. Je to veřejný prostor. Musíme zkontrolovat, co navštěvujeme, zdůraznil Gendre.
