Ole varovainen, salasanan ponnahdusikkuna voi olla väärennös

March 25, 2022
SisäänUutiset Internet Turvallisuus

Tietoturvatutkija on kehittänyt tavan luoda erittäin vakuuttavia, mutta väärennettyjä kertakirjautumisen ponnahdusikkunoita.
Väärennetyt ponnahdusikkunat käyttävät laillisia URL-osoitteita näyttääkseen edelleen aidolta.
Temppu osoittaa, että yksin salasanoja käyttäviltä henkilöiltä varastetaan ennemmin tai myöhemmin tunnukset, varoittavat asiantuntijat.

Joku käyttää kahta kannettavaa tietokonetta ja älypuhelinta tiedon keräämiseen verkossa. — Boonchai wedmakawand / Getty Images

Navigointi verkossa menee hankalammaksi joka päivä.

Useimmat verkkosivustot tarjoavat nykyään useita vaihtoehtoja tilin luomiseen. Voit joko rekisteröityä verkkosivustolle tai käyttää kertakirjautumismekanismia (SSO) kirjautuaksesi sisään verkkosivustolle käyttämällä olemassa olevia tilejäsi hyvämaineisissa yrityksissä, kuten Google, Facebook tai Apple. Kyberturvallisuustutkija on hyödyntänyt tätä ja kehittänyt uudenlaisen mekanismin kirjautumistietojesi varastamiseksi luomalla käytännöllisesti katsoen havaitsemattoman väärennetyn SSO-kirjautumisikkunan.

"SSO: n kasvava suosio tarjoaa [ihmisille] paljon etuja,"

Scott Higgins, suunnittelujohtaja klo Dispersive Holdings, Inc kertoi Lifewirelle sähköpostitse. "Älykkäät hakkerit käyttävät nyt kuitenkin tätä reittiä nerokkaasti hyväkseen."

Väärä kirjautuminen

Perinteisesti hyökkääjät ovat käyttäneet taktiikoita, kuten homografihyökkäykset jotka korvaavat osan alkuperäisen URL-osoitteen kirjaimista samannäköisillä merkeillä luodakseen uusia, vaikeasti havaittavia haitallisia URL-osoitteita ja vääriä kirjautumissivuja.

Tämä strategia kuitenkin usein hajoaa, jos ihmiset tarkastelevat URL-osoitetta huolellisesti. Kyberturvallisuusteollisuus on jo pitkään neuvonut ihmisiä tarkistamaan URL-palkin varmistaakseen, että siinä on oikea osoite, ja sen vieressä on vihreä riippulukko, joka osoittaa, että verkkosivu on suojattu.

"Kaikki tämä sai minut lopulta ajattelemaan, onko mahdollista tehdä "Tarkista URL-osoite" -ohjeesta vähemmän luotettava? Viikon aivoriihen jälkeen päätin, että vastaus on kyllä." kirjoitti nimetön tutkija joka käyttää salanimeä, mr.d0x.

Luotu mr.d0x-hyökkäys, nimeltään selain-in-the-browser (BitB), käyttää verkon kolmea olennaista rakennuspalikka - HTML-koodia, CSS-tyylisivut (CSS) ja JavaScript – väärennetyn SSO-ponnahdusikkunan luomiseen, jota ei käytännössä voi erottaa todellisesta asia.

"Väärennetty URL-palkki voi sisältää mitä tahansa, jopa kelvollisilta vaikuttavia paikkoja. Lisäksi JavaScript-muokkaukset tekevät siitä niin, että linkin tai kirjautumispainikkeen päällä pitäminen ponnahtaa näkyviin myös näennäisesti kelvollisen URL-osoitteen", lisäsi Higgins tutkittuaan mr. d0x: n mekanismi.

Esitelläkseen BitB: tä mr.d0x loi väärennetyn version online-graafisen suunnittelun alustasta, Canvasta. Kun joku napsauttaa kirjautuakseen sisään väärennetylle sivustolle SSO-vaihtoehdolla, verkkosivusto ponnahtaa esiin BitB: n luoman kirjautumisikkunan, jossa on laillinen väärennetyn SSO-palveluntarjoajan, kuten Googlen, osoite huijatakseen vierailijan syöttämään kirjautumistietonsa, jotka lähetetään sitten hyökkääjät.

Tekniikka on tehnyt vaikutuksen useisiin verkkokehittäjiin. "Oho, se on ilkeää: Browser In The Browser (BITB) Attack, uusi tietojenkalastelutekniikka, joka mahdollistaa tunnistetietojen varastamisen, joita edes verkkoammattilainen ei pysty havaitsemaan." François Zaninotto, verkko- ja mobiilikehitysyhtiön toimitusjohtaja Marmelab, kirjoitti Twitterissä.

Katso Minne olet menossa

Vaikka BitB on vakuuttavampi kuin tavanomaiset väärennetyt kirjautumisikkunat, Higgins jakoi muutamia vinkkejä, joilla ihmiset voivat suojautua.

Ensinnäkin, vaikka BitB SSO -ponnahdusikkuna näyttää lailliselta ponnahdusikkunalta, se ei todellakaan ole sitä. Siksi, jos tartut tämän ponnahdusikkunan osoitepalkkiin ja yrität vetää sitä, se ei liiku pääikkunan reunan yli. verkkosivuston ikkuna, toisin kuin todellinen ponnahdusikkuna, joka on täysin itsenäinen ja joka voidaan siirtää mihin tahansa osaan työpöytä.

Higgins kertoi, että SSO-ikkunan legitimiteetin testaus tällä menetelmällä ei toimisi mobiililaitteella. "Tässä [monitekijätodennus] tai salasanattomien todennusvaihtoehtojen käyttö voi olla todella hyödyllistä. Vaikka joutuisit BitB-hyökkäyksen uhriksi, [huijarit] eivät välttämättä pystyisi [käyttämään varastettuja valtuustietojasi] ilman MFA-kirjautumisrutiinin muita osia", Higgins ehdotti.

"Internet ei ole kotimme. Se on julkinen tila. Meidän on tarkistettava, mitä vierailemme."

Lisäksi, koska kyseessä on väärennetty kirjautumisikkuna, salasananhallinta (jos käytät sellaista) ei täytä tunnistetietoja automaattisesti, mikä taas antaa sinulle tauon havaitaksesi jotain vialla.

On myös tärkeää muistaa, että vaikka BitB SSO -ponnahdusikkunaa on vaikea havaita, se on silti käynnistettävä haitallisesta sivustosta. Nähdäksesi tällaisen ponnahdusikkunan, sinun olisi jo täytynyt olla väärennetyllä verkkosivustolla.

Tästä syystä täyden ympyrän tullessa Adrien Gendre, Chief Tech ja Product Officer osoitteessa Vade Secure, ehdottaa, että ihmisten tulisi katsoa URL-osoitteita aina, kun he napsauttavat linkkiä.

"Samalla tavalla kuin tarkistamme ovella olevan numeron varmistaaksemme, että päädymme oikeaan hotellihuoneeseen, ihmisten tulisi aina katsoa nopeasti URL-osoitteet selatessaan verkkosivustoa. Internet ei ole kotimme. Se on julkinen tila. Meidän on tarkistettava, missä vierailemme", Gendre korosti.