Wees voorzichtig, de wachtwoord-pop-up kan nep zijn

March 25, 2022
InNieuws Internet Beveiliging

Een beveiligingsonderzoeker heeft een manier bedacht om zeer overtuigende maar neppe single sign-on login-pop-ups te maken.
De nep-pop-ups gebruiken legitieme URL's om verder echt te lijken.
De truc laat zien dat bij mensen die alleen wachtwoorden gebruiken, hun inloggegevens vroeg of laat worden gestolen, waarschuwen experts.

Iemand die twee laptops en een smartphone gebruikt om online informatie te verzamelen. — Boonchai wedmakawand / Getty Images

Navigeren op internet wordt lastiger elke dag.

De meeste websites bieden tegenwoordig meerdere mogelijkheden om een account aan te maken. U kunt zich registreren bij de website of het mechanisme voor eenmalige aanmelding (SSO) gebruiken om u aan te melden bij de website met uw bestaande accounts bij gerenommeerde bedrijven zoals Google, Facebook of Apple. Een cybersecurity-onderzoeker heeft hiervan geprofiteerd en een nieuw mechanisme bedacht om uw inloggegevens te stelen door een vrijwel niet-detecteerbaar nep-SSO-inlogvenster te creëren.

"De groeiende populariteit van SSO biedt [mensen] veel voordelen," Scott Higgins, Director of Engineering bij

Dispersive Holdings, Inc vertelde Lifewire via e-mail. "Slimme hackers maken nu echter op een ingenieuze manier gebruik van deze route."

Valse login

Traditioneel hebben aanvallers tactieken gebruikt zoals: homograaf aanvallen die enkele letters in de originele URL vervangen door gelijkaardige tekens om nieuwe, moeilijk te herkennen kwaadaardige URL's en valse inlogpagina's te creëren.

Deze strategie valt echter vaak uit elkaar als mensen de URL zorgvuldig onderzoeken. De cyberbeveiligingsindustrie adviseert mensen al lang om de URL-balk te controleren om er zeker van te zijn dat deze het juiste adres vermeldt, en er staat een groen hangslot naast, wat aangeeft dat de webpagina veilig is.

"Dit alles bracht me uiteindelijk tot de gedachte: is het mogelijk om het 'Check the URL'-advies minder betrouwbaar te maken? Na een week brainstormen besloot ik dat het antwoord ja is," schreef de anonieme onderzoeker wie het pseudoniem gebruikt, dhr.d0x.

De aanval die mr.d0x heeft gemaakt, genaamd browser-in-the-browser (BitB), maakt gebruik van de drie essentiële bouwstenen van het web: HTML, cascading style sheets (CSS) en JavaScript—om een nep SSO-pop-upvenster te maken dat in wezen niet van echt te onderscheiden is ding.

"De nep-URL-balk kan alles bevatten wat het wil, zelfs schijnbaar geldige locaties. Bovendien zorgen JavaScript-aanpassingen ervoor dat een muisaanwijzer op de link of inlogknop ook een schijnbaar geldige URL-bestemming opduikt", voegde Higgins eraan toe nadat hij dhr. het mechanisme van d0x.

Om BitB te demonstreren, heeft mr.d0x een nepversie gemaakt van het online grafische ontwerpplatform, Canva. Wanneer iemand klikt om in te loggen op de nepsite met behulp van de SSO-optie, verschijnt het door BitB gemaakte inlogvenster met de legitieme adres van de vervalste SSO-provider, zoals Google, om de bezoeker te misleiden om zijn inloggegevens in te voeren, die vervolgens naar de aanvallers.

De techniek heeft indruk gemaakt op verschillende webontwikkelaars. "Ooh dat is smerig: Browser In The Browser (BITB) Attack, een nieuwe phishing-techniek waarmee inloggegevens kunnen worden gestolen die zelfs een webprofessional niet kan detecteren," François Zaninotto, CEO van web- en mobiel ontwikkelingsbedrijf Marmelab, schreef op Twitter.

Kijk waar je heen gaat

Hoewel BitB overtuigender is dan doorsnee nep-inlogvensters, heeft Higgins een paar tips gedeeld die mensen kunnen gebruiken om zichzelf te beschermen.

Om te beginnen, ondanks dat het BitB SSO-pop-upvenster eruitziet als een legitieme pop-up, is het dat echt niet. Daarom, als u de adresbalk van deze pop-up pakt en probeert te slepen, zal deze niet verder gaan dan de rand van de hoofd- websitevenster, in tegenstelling tot een echt pop-upvenster dat volledig onafhankelijk is en naar elk deel van het bureaublad.

Higgins deelde dat het testen van de legitimiteit van het SSO-venster met deze methode niet zou werken op een mobiel apparaat. "Dit is waar [multi-factor authenticatie] of het gebruik van wachtwoordloze authenticatie-opties echt nuttig kan zijn. Zelfs als je ten prooi zou vallen aan de BitB-aanval, zouden [de oplichters] niet noodzakelijkerwijs in staat zijn om [je gestolen inloggegevens te gebruiken] zonder de andere delen van een MFA-inlogroutine", suggereerde Higgins.

"Het internet is niet ons thuis. Het is een openbare ruimte. We moeten controleren wat we bezoeken."

Omdat het een nep-inlogvenster is, zal de wachtwoordbeheerder (als je er een gebruikt) ook niet automatisch de inloggegevens invullen, zodat je even kunt pauzeren om iets mis te zien.

Het is ook belangrijk om te onthouden dat hoewel de BitB SSO-pop-up moeilijk te herkennen is, deze nog steeds moet worden gestart vanaf een kwaadaardige site. Om zo'n pop-up te zien, had je al op een nepwebsite moeten zijn.

Dit is de reden waarom, als de cirkel rond is, Adrien Gendre, Chief Tech and Product Officer bij Vade Secure, suggereert dat mensen elke keer dat ze op een link klikken naar URL's moeten kijken.

"Op dezelfde manier waarop we het nummer op de deur controleren om er zeker van te zijn dat we in de juiste hotelkamer belanden, moeten mensen altijd snel naar de URL's kijken als ze op een website surfen. Het internet is niet ons thuis. Het is een openbare ruimte. We moeten controleren wat we bezoeken", benadrukte Gendre.