Buďte opatrní, toto vyskakovací okno s heslem může být falešné

March 25, 2022
VZprávy Internetová Bezpečnost

Bezpečnostní výzkumník vymyslel způsob, jak vytvořit velmi přesvědčivá, ale falešná vyskakovací okna pro přihlášení s jediným přihlášením.
Falešná vyskakovací okna používají legitimní adresy URL, aby dále vypadala jako pravá.
Tento trik ukazuje, že lidem, kteří používají pouze hesla, budou jejich přihlašovací údaje dříve nebo později odcizeny, varují odborníci.

Někdo používá dva notebooky a chytrý telefon ke shromažďování informací online. — Boonchai wedmakawand / Getty Images

Procházení webu je stále složitější každý den.

Většina webových stránek v dnešní době nabízí více možností, jak si vytvořit účet. Můžete se buď zaregistrovat na webu, nebo použít mechanismus jednotného přihlášení (SSO) k přihlášení na web pomocí svých stávajících účtů u renomovaných společností, jako je Google, Facebook nebo Apple. Výzkumník v oblasti kybernetické bezpečnosti toho využil a vymyslel nový mechanismus, jak ukrást vaše přihlašovací údaje vytvořením prakticky nezjistitelného falešného přihlašovacího okna SSO.

"Rostoucí popularita jednotného přihlášení poskytuje [lidem] mnoho výhod,“

Scott Higgins, ředitel inženýrství ve společnosti Společnost Dispersive Holdings, Inc řekl Lifewire e-mailem. "Nicméně chytří hackeři nyní tuto cestu využívají důmyslným způsobem."

Falešné přihlášení

Útočníci tradičně používají taktiku jako homografní útoky které nahrazují některá písmena v původní adrese URL podobně vypadajícími znaky a vytvářejí nové, těžko odhalitelné škodlivé adresy URL a falešné přihlašovací stránky.

Tato strategie se však často rozpadne, pokud lidé adresu URL pečlivě prozkoumají. Odvětví kybernetické bezpečnosti lidem již dlouho radí, aby zkontrolovali řádek URL, aby se ujistili, že obsahuje správnou adresu a vedle něj je zelený visací zámek, který signalizuje, že webová stránka je zabezpečená.

„To vše mě nakonec přivedlo k zamyšlení, je možné učinit radu ‚Zkontrolujte URL‘ méně spolehlivou? Po týdnu brainstormingu jsem se rozhodl, že odpověď je ano,“ napsal anonymní badatel kdo používá pseudonym, pan d0x.

Vytvořený útok mr.d0x s názvem browser-in-the-browser (BitB) využívá tři základní stavební kameny webu – HTML, kaskádové styly (CSS) a JavaScript – k vytvoření falešného vyskakovacího okna jednotného přihlášení, které je v podstatě k nerozeznání od skutečného věc.

„Falešná URL může obsahovat cokoli, co chce, dokonce i zdánlivě platná umístění. Úpravy JavaScriptu navíc umožňují, že po najetí myší na odkaz nebo tlačítko přihlášení by se také objevila zdánlivě platná cílová adresa URL,“ dodal Higgins poté, co prozkoumal pana. mechanismus d0x.

Pro demonstraci BitB vytvořil mr.d0x falešnou verzi online platformy pro grafický design Canva. Když někdo klikne a přihlásí se na falešný web pomocí možnosti SSO, web vyskočí přihlašovací okno vytvořené BitB s legitimním adresu falešného poskytovatele SSO, jako je Google, aby návštěvníka oklamal, aby zadal své přihlašovací údaje, které jsou poté odeslány útočníci.

Tato technika zapůsobila na několik webových vývojářů. „Ach, to je ošklivé: Útok prohlížeče v prohlížeči (BITB), nová technika phishingu, která umožňuje ukrást přihlašovací údaje, které ani webový profesionál nedokáže odhalit,“ François Zaninotto, generální ředitel společnosti pro vývoj webových a mobilních aplikací Marmelab, napsal na Twitteru.

Podívejte se, kam jedete

Zatímco BitB je přesvědčivější než běžná falešná přihlašovací okna, Higgins sdílel několik tipů, které mohou lidé použít, aby se ochránili.

Pro začátek, přestože vyskakovací okno BitB SSO vypadá jako legitimní vyskakovací okno, ve skutečnosti tomu tak není. Pokud tedy uchopíte adresní řádek tohoto vyskakovacího okna a pokusíte se jej přetáhnout, nepřesune se za okraj hlavního okna okno webové stránky, na rozdíl od skutečného vyskakovacího okna, které je zcela nezávislé a lze jej přesunout do jakékoli části plocha počítače.

Higgins sdílel, že testování legitimity okna SSO pomocí této metody by na mobilním zařízení nefungovalo. "To je místo, kde může být [vícefaktorové ověřování] nebo použití možností ověřování bez hesla skutečně užitečné. I kdybyste se stali obětí útoku BitB, [podvodníci] by nemuseli být schopni [použít vaše ukradené přihlašovací údaje] bez dalších částí přihlašovací rutiny MFA,“ navrhl Higgins.

„Internet není náš domov. Je to veřejný prostor. Musíme zkontrolovat, co jsme navštívili."

Vzhledem k tomu, že se jedná o falešné přihlašovací okno, správce hesel (pokud jej používáte) také automaticky nevyplní přihlašovací údaje, což vám opět poskytne pauzu, abyste si všimli, že něco není v pořádku.

Je také důležité si uvědomit, že ačkoli je vyskakovací okno BitB SSO těžké rozpoznat, musí být stále spuštěno ze škodlivého webu. Abyste viděli vyskakovací okno jako je toto, museli byste být na falešném webu.

To je důvod, proč se uzavírá kruh, Adrien Gendre, Chief Tech and Product Officer ve společnosti Vade Secure, navrhuje, aby se lidé dívali na adresy URL pokaždé, když kliknou na odkaz.

„Stejným způsobem, jakým kontrolujeme číslo na dveřích, abychom se ujistili, že skončíme ve správném hotelovém pokoji, by se lidé měli při procházení webových stránek vždy rychle podívat na adresy URL. Internet není náš domov. Je to veřejný prostor. Musíme zkontrolovat, co jsme na návštěvě,“ zdůraznil Gendre.