閉じる
メニュー

注意してください、そのパスワードポップアップは偽物である可能性があります

  • セキュリティ研究者は、非常に説得力のある、しかし偽のシングルサインオンログインポップアップを作成する方法を考案しました。
  • 偽のポップアップは、正当なURLを使用して、さらに本物のように見せかけます。
  • このトリックは、パスワードだけを使用している人は遅かれ早かれ自分の資格情報を盗まれるということを示しています、と専門家に警告します。
2台のラップトップと1台のスマートフォンを使用してオンラインで情報を収集している人。

ブーンチャイウェドマカワンド/ゲッティイメージズ

Webのナビゲート トリッキーになっています 毎日。

最近のほとんどのWebサイトでは、アカウントを作成するための複数のオプションが提供されています。 Webサイトに登録するか、シングルサインオン(SSO)メカニズムを使用して、Google、Facebook、Appleなどの評判の良い企業の既存のアカウントを使用してWebサイトにログインできます。 サイバーセキュリティの研究者はこれを利用して、事実上検出できない偽のSSOログインウィンドウを作成することにより、ログイン資格情報を盗むための新しいメカニズムを考案しました。

「SSOの人気の高まりは、[人々]に多くのメリットをもたらします。」 スコットヒギンズ、エンジニアリングディレクター Dispersive Holdings、Inc メールでLifewireに語った。 「しかし、巧妙なハッカーは現在、このルートを巧妙な方法で利用しています。」

偽のログイン

伝統的に、攻撃者は次のような戦術を採用してきました ホモグラフ攻撃 これは、元のURLの一部の文字を似たような文字に置き換えて、新しい、見つけにくい悪意のあるURLと偽のログインページを作成します。

ただし、人々がURLを注意深く精査すると、この戦略はしばしば崩壊します。 サイバーセキュリティ業界は長い間、URLバーをチェックして正しいアドレスがリストされていることを確認し、その横に緑色の錠前があり、Webページが安全であることを示すように人々にアドバイスしてきました。

「これらすべてが最終的に私に考えさせられました。「URLを確認する」アドバイスの信頼性を下げることは可能ですか? 1週間のブレインストーミングの後、答えはイエスだと判断しました。」 匿名の研究者を書いた 仮名を使用する人、 mr.d0x.

ブラウザインザブラウザ(BitB)という名前のmr.d0xが作成した攻撃は、Webの3つの重要な構成要素であるHTMLを使用します。 カスケードスタイルシート(CSS)とJavaScript-本質的に本物と見分けがつかない偽のSSOポップアップウィンドウを作成する もの。

「偽のURLバーには、一見有効な場所であっても、必要なものをすべて含めることができます。 さらに、JavaScriptの変更により、リンクまたはログインボタンにカーソルを合わせると、一見有効なURLの宛先もポップアップ表示されるようになります」とHiggins氏は、氏を調べた後に付け加えました。 d0xのメカニズム。

BitBをデモンストレーションするために、mr.d0xはオンライングラフィックデザインプラットフォームの偽のバージョンであるCanvaを作成しました。 誰かがクリックしてSSOオプションを使用して偽のサイトにログインすると、Webサイトは正規のログインウィンドウをポップアップします。 なりすましのSSOプロバイダー(Googleなど)のアドレス。訪問者をだましてログイン資格情報を入力させ、ログイン資格情報を 攻撃者。

この手法は、何人かのWeb開発者に感銘を与えました。 「これは厄介です。ブラウザインザブラウザ(BITB)攻撃は、Webプロフェッショナルでさえ検出できない資格情報を盗むことを可能にする新しいフィッシング手法です。」 フランソワ・ザニノット、ウェブおよびモバイル開発会社のCEO マルメラブ、ツイッターに書いた。

あなたが行くところを見てください

BitBは、ありふれた偽のログインウィンドウよりも説得力がありますが、Higginsは、人々が自分自身を保護するために使用できるいくつかのヒントを共有しました。

手始めに、BitB SSOポップアップウィンドウは正規のポップアップのように見えますが、実際にはそうではありません。 したがって、このポップアップのアドレスバーをつかんでドラッグしようとしても、メインの端を超えて移動することはありません。 ウェブサイトのウィンドウは、完全に独立していて、任意の場所に移動できる実際のポップアップウィンドウとは異なります。 デスクトップ。

Higginsは、この方法を使用してSSOウィンドウの正当性をテストすることは、モバイルデバイスでは機能しないことを共有しました。 「これは、[多要素認証]またはパスワードなしの認証オプションの使用が本当に役立つ場合がある場所です。 BitB攻撃の餌食になったとしても、[詐欺師]はMFAログインルーチンの他の部分がなければ[盗まれた資格情報を使用]できるとは限りません」とHiggins氏は提案しました。

「インターネットは私たちの家ではありません。 パブリックスペースです。 訪問しているものを確認する必要があります。」

また、これは偽のログインウィンドウであるため、パスワードマネージャー(使用している場合)は自動的に資格情報を入力せず、何か間違いを見つけるために一時停止します。

BitB SSOポップアップを見つけるのは困難ですが、それでも悪意のあるサイトから起動する必要があることを覚えておくことも重要です。 このようなポップアップを表示するには、すでに偽のWebサイトにアクセスしている必要があります。

だからこそ、一周して、 エイドリアン・ゲンドレ、チーフテックアンドプロダクトオフィサー Vade Secureは、リンクをクリックするたびにURLを確認する必要があることを示しています。

「ドアの番号をチェックして正しいホテルの部屋に到着することを確認するのと同じように、人々はWebサイトを閲覧するときに常にURLをすばやく確認する必要があります。 インターネットは私たちの家ではありません。 パブリックスペースです。 訪問しているものを確認する必要があります」とGendre氏は強調しました。