Будите опрезни, тај искачући прозор са лозинком може бити лажан

March 25, 2022
УВести Интернет и безбедност

Истраживач безбедности је осмислио начин да креира веома убедљиве, али лажне искачуће прозоре за пријаву за једнократну пријаву.
Лажни искачући прозори користе легитимне УРЛ адресе да би додатно изгледали аутентични.
Овај трик показује да ће људима који користе само лозинке пре или касније бити украдени акредитиви, упозоравају стручњаци.

Неко користи два лаптопа и паметни телефон за прикупљање информација на мрежи. — Боонцхаи ведмакаванд / Гетти Имагес

Кретање по вебу постаје све теже сваки дан.

Већина веб локација ових дана нуди више опција за креирање налога. Можете или да се региструјете на веб локацији или да користите механизам јединствене пријаве (ССО) да бисте се пријавили на веб локацију користећи своје постојеће налоге код реномираних компанија као што су Гоогле, Фацебоок или Аппле. Истраживач сајбер безбедности је искористио ово и осмислио нови механизам за крађу ваших акредитива за пријаву креирањем лажног прозора за пријаву на ССО који се практично не може открити.

„Све већа популарност ССО пружа много предности [људима]“, Сцотт Хиггинс, директор инжењеринга у

Дисперсиве Холдингс, Инц рекао је Лифевире-у преко е-поште. „Међутим, паметни хакери сада користе ову руту на генијалан начин.

Лажна пријава

Традиционално, нападачи су користили тактике као што је хомограф напади који замењују нека слова у оригиналном УРЛ-у знаковима сличног изгледа да би направили нове, тешко уочљиве злонамерне УРЛ адресе и лажне странице за пријаву.

Међутим, ова стратегија се често распада ако људи пажљиво проуче УРЛ. Индустрија сајбер безбедности већ дуго саветује људима да провере УРЛ траку како би се уверили да је наведена тачна адреса и да поред себе има зелени катанац, који сигнализира да је веб страница безбедна.

„Све ово ме је на крају навело на размишљање, да ли је могуће учинити савет „Провери УРЛ“ мање поузданим? После недељу дана размишљања, одлучио сам да је одговор да," написао је анонимни истраживач ко користи псеудоним, мр.д0к.

Напад који је креирао мр.д0к, назван претраживач у претраживачу (БитБ), користи три основна градивна блока веба – ХТМЛ, каскадне таблице стилова (ЦСС) и ЈаваСцрипт—да бисте направили лажни ССО искачући прозор који се у суштини не разликује од стварног ствар.

„Лажна УРЛ трака може да садржи све што пожели, чак и наизглед валидне локације. Штавише, модификације ЈаваСцрипт-а чине тако да курсор на везу или дугме за пријаву искаче и наизглед валидну УРЛ дестинацију“, додао је Хигинс након што је испитао г. д0к-ов механизам.

Да би демонстрирао БитБ, мр.д0к је направио лажну верзију онлајн платформе за графички дизајн, Цанва. Када неко кликне да би се пријавио на лажну веб локацију користећи ССО опцију, веб локација искаче прозор за пријаву направљен БитБ са легитимним адресу лажног ССО провајдера, као што је Гоогле, да би преварили посетиоца да унесе своје акредитиве за пријаву, који се затим шаљу на нападачи.

Техника је импресионирала неколико веб програмера. „Ох, то је гадно: Напад претраживача у претраживачу (БИТБ), нова техника пхисхинга која омогућава крађу акредитива које чак ни веб професионалац не може да открије“, Франсоа Заниното, извршни директор компаније за развој веба и мобилних уређаја Мармелаб, написао је на Твитеру.

Погледајте куда идете

Иако је БитБ убедљивији од уобичајених лажних прозора за пријављивање, Хигинс је поделио неколико савета које људи могу да користе да би се заштитили.

За почетак, упркос томе што искачући прозор БитБ ССО изгледа као легитиман искачући прозор, заиста није. Стога, ако зграбите траку за адресу овог искачућег прозора и покушате да је превучете, она се неће померити даље од ивице главног прозор веб странице, за разлику од правог искачућег прозора који је потпуно независан и може се померити у било који део десктоп.

Хигинс је рекао да тестирање легитимности ССО прозора помоћу ове методе не би функционисало на мобилном уређају. „Овде [вишефакторска аутентификација] или коришћење опција аутентификације без лозинке заиста може бити од помоћи. Чак и ако сте постали жртва БитБ напада, [преваранти] не би нужно могли да [користе ваше украдене акредитиве] без других делова рутине за пријаву у МФА“, предложио је Хигинс.

„Интернет није наш дом. То је јавни простор. Морамо да проверимо шта посећујемо“.

Такође, пошто је то лажни прозор за пријаву, менаџер лозинки (ако га користите) неће аутоматски попунити акредитиве, опет вам даје паузу да уочите да нешто није у реду.

Такође је важно запамтити да иако је искачући прозор БитБ ССО тешко уочити, он ипак мора бити покренут са злонамерне локације. Да бисте видели овакав искачући прозор, већ бисте морали да будете на лажној веб локацији.

Због тога, идући пуни круг, Адриен Гендре, директор технологије и производа у Ваде Сецуре, сугерише да људи треба да погледају УРЛ-ове сваки пут када кликну на везу.

„На исти начин на који проверавамо број на вратима да бисмо били сигурни да смо завршили у правој хотелској соби, људи би увек требало да брзо погледају УРЛ-ове када претражују веб локацију. Интернет није наш дом. То је јавни простор. Морамо да проверимо шта посећујемо“, нагласио је Гендре.