Olge ettevaatlik, see parooli hüpikaken võib olla võlts

March 25, 2022
SisseUudised Interneti Turvalisus

Turvauurija on välja töötanud viisi, kuidas luua väga veenvaid, kuid võltsitud ühekordse sisselogimise hüpikaknaid.
Võltshüpikaknad kasutavad ehtsana näimiseks seaduslikke URL-e.
Eksperdid hoiatavad, et trikk näitab, et ainuüksi paroole kasutavate inimeste volikirjad varastatakse varem või hiljem.

Keegi kasutab võrgus teabe kogumiseks kahte sülearvutit ja nutitelefoni. — Boonchai wedmakawand / Getty Images

Veebis navigeerimine muutub keerulisemaks iga päev.

Tänapäeval pakuvad enamik veebisaite konto loomiseks mitut võimalust. Saate registreeruda veebisaidil või kasutada ühekordse sisselogimise (SSO) mehhanismi, et logida veebisaidile sisse, kasutades oma olemasolevaid kontosid sellistes mainekates ettevõtetes nagu Google, Facebook või Apple. Küberturvalisuse uurija on seda ära kasutanud ja loonud uudse mehhanismi teie sisselogimismandaatide varastamiseks, luues praktiliselt tuvastamatu võlts-SSO sisselogimisakna.

"SSO kasvav populaarsus pakub [inimestele] palju eeliseid," Scott Higgins, inseneridirektor aadressil Dispersive Holdings, Inc ütles Lifewire'ile meili teel. "Kuid nutikad häkkerid kasutavad seda teed nüüd leidlikult ära."

Võltsitud sisselogimine

Traditsiooniliselt on ründajad kasutanud selliseid taktikaid nagu homograafide rünnakud mis asendavad mõned algses URL-is olevad tähed sarnase välimusega tähemärkidega, et luua uusi, raskesti märgatavaid pahatahtlikke URL-e ja võltsitud sisselogimislehti.

See strateegia kukub aga sageli kokku, kui inimesed URL-i hoolikalt uurivad. Küberjulgeolekutööstus on pikka aega soovitanud inimestel kontrollida URL-i riba, et veenduda, kas sellel on õige aadress, ja selle kõrval on roheline tabalukk, mis annab märku, et veebileht on turvaline.

"Kõik see pani mind lõpuks mõtlema, kas on võimalik "Kontrolli URL-i" nõuannet vähem usaldusväärseks muuta? Pärast nädalast ajurünnakut otsustasin, et vastus on jah. kirjutas anonüümne uurija kes kasutab pseudonüümi, mr.d0x.

Loodud rünnak mr.d0x, mille nimi on brauseris-in-the-browser (BitB), kasutab veebi kolme olulist ehitusplokki – HTML-i, kaskaadlaadilehed (CSS) ja JavaScript – võltsitud SSO-hüpikakna loomiseks, mis on sisuliselt eristamatu tegelikust asi.

"Võlts URL-i riba võib sisaldada kõike, mida ta soovib, isegi näiliselt kehtivaid asukohti. Veelgi enam, JavaScripti muudatused muudavad selle nii, et lingil või sisselogimisnupul hõljutades ilmuks ka näiliselt kehtiv URL-i sihtkoht," lisas Higgins pärast hr. d0x mehhanism.

BitB demonstreerimiseks lõi mr.d0x veebipõhise graafilise disaini platvormi Canva võltsversiooni. Kui keegi klõpsab SSO-valiku abil võltsitud saidile sisselogimiseks, kuvatakse veebisaidil BitB loodud sisselogimisaken, millel on õigustatud võltsitud SSO-teenuse pakkuja (nt Google'i) aadress, et meelitada külastajat sisestama oma sisselogimismandaate, mis saadetakse seejärel ründajad.

See tehnika on avaldanud muljet mitmetele veebiarendajatele. "Oh, see on vastik: Browser In The Browser (BITB) Attack, uus andmepüügitehnika, mis võimaldab varastada mandaate, mida isegi veebiprofessionaal ei suuda tuvastada." François Zaninotto, veebi- ja mobiiliarendusettevõtte tegevjuht Marmelab, kirjutas Twitteris.

Vaata, kuhu lähed

Kuigi BitB on veenvam kui tavalised võltsitud sisselogimisaknad, jagas Higgins mõningaid näpunäiteid, mida inimesed saavad enda kaitsmiseks kasutada.

Alustuseks, hoolimata sellest, et BitB SSO hüpikaken näeb välja nagu seaduslik hüpikaken, pole see tegelikult nii. Seega, kui haarate selle hüpikakna aadressiriba ja proovite seda lohistada, ei liigu see põhiakna servast kaugemale. veebisaidi aken, erinevalt tõelisest hüpikaknast, mis on täiesti sõltumatu ja mida saab teisaldada mis tahes ossa töölaud.

Higgins jagas, et selle meetodi abil SSO-akna legitiimsuse testimine mobiilseadmes ei tööta. "Siin võib [mitmefaktoriline autentimine] või paroolita autentimisvõimaluste kasutamine tõesti abiks olla. Isegi kui satuksid BitB rünnaku ohvriks, ei saaks [petturid] ilmtingimata [kasutada teie varastatud mandaate] ilma MFA sisselogimisrutiini muude osadeta,“ soovitas Higgins.

«Internet pole meie kodu. Tegemist on avaliku ruumiga. Peame vaatama, mida külastame."

Kuna tegemist on võltssisselogimisaknaga, ei täida paroolihaldur (kui kasutate seda) automaatselt mandaate, andes teile jälle pausi, et midagi valesti tuvastada.

Samuti on oluline meeles pidada, et kuigi BitB SSO hüpikakent on raske märgata, tuleb see siiski käivitada pahatahtlikult saidilt. Sellise hüpikakna nägemiseks oleksite pidanud juba olema võltsveebisaidil.

See on põhjus, miks täisringi saabudes, Adrien Gendre, tehnika- ja tootejuht aadressil Vade Secure, soovitab inimestel vaadata URL-e iga kord, kui nad lingil klõpsavad.

"Samamoodi, nagu me kontrollime uksel olevat numbrit, veendumaks, et jõuame õigesse hotellituppa, peaksid inimesed veebisaiti sirvides alati kiiresti URL-e vaatama. Internet pole meie kodu. Tegemist on avaliku ruumiga. Peame vaatama, mida külastame,» rõhutas Gendre.