सावधान रहें, वह पासवर्ड पॉप-अप नकली हो सकता है

March 25, 2022
मेंसमाचार इंटरनेट सुरक्षा

एक सुरक्षा शोधकर्ता ने बहुत ही भरोसेमंद लेकिन नकली सिंगल साइन-ऑन लॉगिन पॉप-अप बनाने का एक तरीका तैयार किया है।
नकली पॉप-अप आगे वास्तविक दिखने के लिए वैध URL का उपयोग करते हैं।
विशेषज्ञों ने चेतावनी दी है कि यह चाल दर्शाती है कि अकेले पासवर्ड का उपयोग करने वाले लोगों के क्रेडेंशियल जल्द या बाद में चोरी हो जाएंगे।

कोई व्यक्ति ऑनलाइन जानकारी एकत्र करने के लिए दो लैपटॉप और एक स्मार्टफोन का उपयोग कर रहा है। — बूनचाई वेदमाकावंद / गेट्टी छवियां

वेब नेविगेट करना पेचीदा होता जा रहा है हर दिन।

आजकल अधिकांश वेबसाइटें खाता बनाने के लिए कई विकल्प प्रदान करती हैं। आप या तो वेबसाइट के साथ पंजीकरण कर सकते हैं, या Google, Facebook, या Apple जैसी प्रतिष्ठित कंपनियों के साथ अपने मौजूदा खातों का उपयोग करके वेबसाइट में लॉग इन करने के लिए एकल साइन-ऑन (SSO) तंत्र का उपयोग कर सकते हैं। एक साइबर सुरक्षा शोधकर्ता ने इसका फायदा उठाया है और एक वस्तुतः ज्ञानी नकली एसएसओ लॉगिन विंडो बनाकर आपके लॉगिन क्रेडेंशियल्स को चुराने के लिए एक नया तंत्र तैयार किया है।

"एसएसओ की बढ़ती लोकप्रियता [लोगों] को बहुत सारे लाभ प्रदान करती है," स्कॉट हिगिंस, इंजीनियरिंग के निदेशक फैलाव होल्डिंग्स, इंक लाइफवायर को ईमेल पर बताया। "हालांकि, चतुर हैकर अब इस मार्ग का एक सरल तरीके से लाभ उठा रहे हैं।"

नकली लॉगिन

परंपरागत रूप से, हमलावरों ने रणनीति अपनाई है जैसे होमोग्राफ हमले जो मूल URL के कुछ अक्षरों को समान-दिखने वाले वर्णों से बदल कर नए, हार्ड-टू-स्पॉट दुर्भावनापूर्ण URL और नकली लॉगिन पृष्ठ बनाते हैं।

हालांकि, अगर लोग यूआरएल की सावधानीपूर्वक जांच करते हैं तो यह रणनीति अक्सर विफल हो जाती है। साइबर सुरक्षा उद्योग ने लंबे समय से लोगों को यूआरएल बार की जांच करने की सलाह दी है ताकि यह सुनिश्चित हो सके कि यह सही पता सूचीबद्ध करता है, और इसके बगल में एक हरा पैडलॉक है, जो संकेत देता है कि वेबपेज सुरक्षित है।

"इस सब ने अंततः मुझे सोचने के लिए प्रेरित किया, क्या 'यूआरएल जांचें' सलाह को कम विश्वसनीय बनाना संभव है? एक हफ्ते के विचार-मंथन के बाद मैंने फैसला किया कि इसका जवाब हां है।" अनाम शोधकर्ता ने लिखा जो छद्म नाम का उपयोग करता है, श्री.d0x.

ब्राउज़र-इन-द-ब्राउज़र (BitB) नाम से बनाया गया हमला mr.d0x, वेब के तीन आवश्यक बिल्डिंग ब्लॉक- HTML का उपयोग करता है, कैस्केडिंग स्टाइल शीट (सीएसएस), और जावास्क्रिप्ट—एक नकली एसएसओ पॉप-अप विंडो तैयार करने के लिए जो अनिवार्य रूप से वास्तविक से अप्रभेद्य है चीज़।

"नकली यूआरएल बार में कुछ भी हो सकता है, यहां तक कि प्रतीत होता है कि वैध स्थान भी। इसके अलावा, जावास्क्रिप्ट संशोधनों से ऐसा होता है कि लिंक, या लॉगिन बटन पर मँडराते हुए एक प्रतीत होता है कि मान्य URL गंतव्य भी पॉप अप होगा," श्रीमान की जांच के बाद हिगिंस ने कहा। d0x का तंत्र।

BitB को प्रदर्शित करने के लिए, mr.d0x ने ऑनलाइन ग्राफिक डिज़ाइन प्लेटफ़ॉर्म, Canva का एक नकली संस्करण बनाया। जब कोई एसएसओ विकल्प का उपयोग करके नकली साइट पर लॉग इन करने के लिए क्लिक करता है, तो वेबसाइट बिटबी क्राफ्टेड लॉगिन विंडो को वैध के साथ पॉप अप करती है। नकली एसएसओ प्रदाता का पता, जैसे कि Google, विज़िटर को उनके लॉगिन क्रेडेंशियल दर्ज करने के लिए धोखा देने के लिए, जिसे बाद में उन्हें भेजा जाता है हमलावर

तकनीक ने कई वेब डेवलपर्स को प्रभावित किया है। "ओह दैट नॉटी: ब्राउजर इन द ब्राउजर (बीआईटीबी) अटैक, एक नई फ़िशिंग तकनीक जो ऐसे क्रेडेंशियल्स को चुराने की अनुमति देती है जिसे एक वेब पेशेवर भी नहीं पहचान सकता है," फ़्राँस्वा ज़ैनिनोटो, वेब और मोबाइल विकास कंपनी के सीईओ मार्मेलाब, ट्विटर पर लिखा।

देखो तुम कहाँ जा रहे हो

जबकि बिटबी रन-ऑफ-द-मिल नकली लॉगिन विंडो की तुलना में अधिक आश्वस्त है, हिगिंस ने कुछ युक्तियां साझा की हैं जिनका उपयोग लोग अपनी सुरक्षा के लिए कर सकते हैं।

शुरुआत के लिए, बिटबी एसएसओ पॉप-अप विंडो एक वैध पॉप-अप की तरह दिखने के बावजूद, यह वास्तव में नहीं है। इसलिए, यदि आप इस पॉप-अप के एड्रेस बार को पकड़ते हैं और इसे खींचने का प्रयास करते हैं, तो यह मुख्य के किनारे से आगे नहीं बढ़ेगा वेबसाइट की विंडो, वास्तविक पॉप-अप विंडो के विपरीत, जो पूरी तरह से स्वतंत्र है और इसे किसी भी हिस्से में ले जाया जा सकता है डेस्कटॉप।

हिगिंस ने साझा किया कि इस पद्धति का उपयोग करके एसएसओ विंडो की वैधता का परीक्षण मोबाइल डिवाइस पर काम नहीं करेगा। "यह वह जगह है जहां [बहु-कारक प्रमाणीकरण] या पासवर्ड रहित प्रमाणीकरण विकल्पों का उपयोग वास्तव में सहायक हो सकता है। यहां तक कि अगर आप बिटबी हमले के शिकार हो गए हैं, तो [स्कैमर्स] एमएफए लॉगिन रूटीन के अन्य हिस्सों के बिना [आपके चुराए गए प्रमाण-पत्रों का उपयोग करने में सक्षम नहीं होंगे," हिगिंस ने सुझाव दिया।

"इंटरनेट हमारा घर नहीं है। यह एक सार्वजनिक स्थान है। हमें यह देखना चाहिए कि हम क्या देख रहे हैं।"

साथ ही, चूंकि यह एक नकली लॉगिन विंडो है, पासवर्ड मैनेजर (यदि आप एक का उपयोग कर रहे हैं) स्वचालित रूप से क्रेडेंशियल्स को नहीं भरेगा, फिर से आपको कुछ गलत करने के लिए विराम देगा।

यह याद रखना भी महत्वपूर्ण है कि हालांकि बिटबी एसएसओ पॉप-अप को पहचानना मुश्किल है, फिर भी इसे किसी दुर्भावनापूर्ण साइट से लॉन्च किया जाना चाहिए। इस तरह का पॉप-अप देखने के लिए, आपको पहले से ही एक नकली वेबसाइट पर होना होगा।

यही कारण है कि, पूर्ण चक्र आ रहा है, एड्रियन जेंडर, मुख्य तकनीक और उत्पाद अधिकारी वेड सिक्योर, सुझाव देता है कि लोगों को हर बार किसी लिंक पर क्लिक करने पर URL देखना चाहिए।

"जिस तरह हम यह सुनिश्चित करने के लिए दरवाजे पर नंबर की जांच करते हैं कि हम सही होटल के कमरे में पहुंचें, वेबसाइट ब्राउज़ करते समय लोगों को हमेशा यूआरएल पर एक त्वरित नज़र रखनी चाहिए। इंटरनेट हमारा घर नहीं है। यह एक सार्वजनिक स्थान है। हमें जांचना चाहिए कि हम क्या देख रहे हैं," जेंडर ने जोर दिया।