Bodite previdni, pojavno okno z geslom je lahko lažno

March 25, 2022
VNovice Internet In Varnost

Varnostni raziskovalec je zasnoval način za ustvarjanje zelo prepričljivih, a lažnih pojavnih oken za prijavo z enotno prijavo.
Ponarejena pojavna okna uporabljajo zakonite URL-je, da so še bolj pristna.
Trik dokazuje, da bodo ljudem, ki uporabljajo samo gesla, slej ko prej ukradli poverilnice, opozarjajo strokovnjaki.

Nekdo, ki uporablja dva prenosnika in pametni telefon za zbiranje informacij na spletu. — Boonchai wedmakawand / Getty Images

Krmarjenje po spletu postaja vse bolj zapleteno vsak dan.

Večina spletnih mest danes ponuja več možnosti za ustvarjanje računa. Lahko se registrirate na spletnem mestu ali uporabite mehanizem enotne prijave (SSO) za prijavo na spletno mesto z obstoječimi računi pri uglednih podjetjih, kot so Google, Facebook ali Apple. Raziskovalec kibernetske varnosti je to izkoristil in zasnoval nov mehanizem za krajo vaših poverilnic za prijavo, tako da ustvari skoraj nezaznavno ponarejeno okno za prijavo v SSO.

"Naraščajoča priljubljenost SSO zagotavlja veliko koristi [ljudem]," Scott Higgins, direktor inženiringa pri Dispersive Holdings, Inc povedal Lifewire po e-pošti. "Vendar pa pametni hekerji to pot zdaj izkoriščajo na iznajdljiv način."

Lažna prijava

Tradicionalno so napadalci uporabljali taktike, kot so homografski napadi ki zamenjajo nekatere črke v izvirnem URL-ju s podobnimi znaki, da ustvarijo nove, težko opazne zlonamerne URL-je in lažne strani za prijavo.

Vendar pa ta strategija pogosto propade, če ljudje natančno preučijo URL. Industrija kibernetske varnosti že dolgo svetuje ljudem, naj preverijo vrstico URL in zagotovijo, da je naveden pravi naslov, poleg tega pa ima zeleno ključavnico, ki pomeni, da je spletna stran varna.

"Vse to me je na koncu pripeljalo do razmišljanja, ali je mogoče narediti nasvet 'Preveri URL' manj zanesljiv? Po enem tednu razmišljanja sem se odločil, da je odgovor pritrdilen,« je zapisal anonimni raziskovalec kdo uporablja psevdonim, mr.d0x.

Napad, ki ga je ustvaril mr.d0x, imenovan brskalnik v brskalniku (BitB), uporablja tri bistvene gradnike spleta – HTML, kaskadne tabele slogov (CSS) in JavaScript – za izdelavo lažnega pojavnega okna SSO, ki se v bistvu ne razlikuje od pravega stvar.

"Lažna URL-vrstica lahko vsebuje vse, kar želi, tudi navidez veljavne lokacije. Poleg tega spremembe JavaScripta omogočajo, da se s kazalcem miške na povezavi ali gumbu za prijavo prikaže tudi navidezno veljaven cilj URL,« je dodal Higgins po pregledu g. mehanizem d0x.

Da bi demonstriral BitB, je mr.d0x ustvaril ponarejeno različico spletne platforme za grafično oblikovanje Canva. Ko se nekdo klikne za prijavo na lažno spletno mesto z možnostjo SSO, se na spletnem mestu prikaže okno za prijavo, izdelano v BitB, z zakonitim naslov ponarejenega ponudnika SSO, kot je Google, da obiskovalca zavede, da vnese svoje poverilnice za prijavo, ki se nato pošljejo na napadalci.

Tehnika je navdušila številne spletne razvijalce. "Oh, to je grdo: Browser In The Browser Attack (BITB), nova tehnika lažnega predstavljanja, ki omogoča krajo poverilnic, ki jih niti spletni strokovnjak ne more zaznati," François Zaninotto, izvršni direktor podjetja za razvoj spletnih in mobilnih telefonov Marmelab, so zapisali na Twitterju.

Poglej kam greš

Medtem ko je BitB bolj prepričljiv kot običajna lažna prijavna okna, je Higgins delil nekaj nasvetov, s katerimi se lahko ljudje zaščitijo.

Za začetek, kljub temu, da je pojavno okno BitB SSO videti kot legitimno pojavno okno, v resnici ni. Če torej zgrabite naslovno vrstico tega pojavnega okna in jo poskusite povleči, se ne bo premaknila čez rob glavnega okno spletnega mesta, za razliko od pravega pojavnega okna, ki je popolnoma neodvisno in ga je mogoče premakniti na kateri koli del namizje.

Higgins je povedal, da testiranje legitimnosti okna SSO s to metodo ne bi delovalo na mobilni napravi. "Tu je lahko [večfaktorska avtentikacija] ali uporaba možnosti preverjanja pristnosti brez gesla res koristna. Tudi če ste postali žrtev napada BitB, [prevaranti] ne bi nujno mogli [uporabiti vaših ukradenih poverilnic] brez drugih delov rutine za prijavo v MFA,« je predlagal Higgins.

"Internet ni naš dom. To je javni prostor. Moramo preveriti, kaj obiščemo."

Ker gre tudi za lažno prijavno okno, upravitelj gesel (če ga uporabljate) ne bo samodejno izpolnil poverilnic, kar vam bo spet omogočilo premor, da opazite, da je nekaj narobe.

Pomembno si je tudi zapomniti, da čeprav je pojavno okno BitB SSO težko opaziti, ga je treba vseeno zagnati z zlonamernega spletnega mesta. Če želite videti takšno pojavno okno, bi že morali biti na lažni spletni strani.

Zato, ko pridemo v polni krog, Adrien Gendre, vodja tehnologije in izdelkov pri Vade Secure, predlaga, da ljudje pogledajo URL-je vsakič, ko kliknejo povezavo.

"Tako kot preverjamo številko na vratih, da se prepričamo, da bomo končali v pravi hotelski sobi, bi morali ljudje vedno hitro pogledati URL-je, ko brskajo po spletnem mestu. Internet ni naš dom. To je javni prostor. Moramo preveriti, kaj obiskujemo,« je poudaril Gendre.