ระวัง รหัสผ่านป๊อปอัปนั้นอาจเป็นของปลอม

การนำทางเว็บ ยากขึ้นเรื่อยๆ ทุกวัน.

เว็บไซต์ส่วนใหญ่ในปัจจุบันมีตัวเลือกมากมายในการสร้างบัญชี คุณสามารถลงทะเบียนกับเว็บไซต์ หรือใช้กลไกการลงชื่อเพียงครั้งเดียว (SSO) เพื่อเข้าสู่ระบบเว็บไซต์โดยใช้บัญชีที่มีอยู่ของคุณกับบริษัทที่มีชื่อเสียง เช่น Google, Facebook หรือ Apple นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ใช้ประโยชน์จากสิ่งนี้และคิดค้นกลไกใหม่เพื่อขโมยข้อมูลรับรองการเข้าสู่ระบบของคุณโดยการสร้างหน้าต่างเข้าสู่ระบบ SSO ปลอมที่ตรวจจับแทบไม่ได้

"ความนิยมที่เพิ่มขึ้นของ SSO ให้ประโยชน์มากมายแก่ [ผู้คน]" สกอตต์ ฮิกกินส์, ผู้อำนวยการฝ่ายวิศวกรรมที่ Dispersive Holdings, Inc บอก Lifewire ทางอีเมล "อย่างไรก็ตาม แฮกเกอร์ที่ฉลาดตอนนี้กำลังใช้ประโยชน์จากเส้นทางนี้อย่างชาญฉลาด"

เข้าสู่ระบบปลอม

ตามเนื้อผ้า ผู้โจมตีใช้กลยุทธ์เช่น

การโจมตีด้วยคำพ้องเสียง ที่แทนที่ตัวอักษรบางตัวใน URL เดิมด้วยอักขระที่มีลักษณะคล้ายกันเพื่อสร้าง URL ที่เป็นอันตรายใหม่ซึ่งมองเห็นได้ยากและหน้าเข้าสู่ระบบปลอม

อย่างไรก็ตาม กลยุทธ์นี้มักจะล้มเหลวหากผู้คนตรวจสอบ URL อย่างละเอียดถี่ถ้วน อุตสาหกรรมความปลอดภัยทางไซเบอร์ได้แนะนำให้ผู้คนตรวจสอบแถบ URL มาเป็นเวลานานเพื่อให้แน่ใจว่าแสดงที่อยู่ที่ถูกต้อง และมีแม่กุญแจสีเขียวอยู่ข้างๆ ซึ่งส่งสัญญาณว่าหน้าเว็บนั้นปลอดภัย

"ทั้งหมดนี้ทำให้ฉันคิดได้ว่า เป็นไปได้ไหมที่จะทำให้คำแนะนำ 'ตรวจสอบ URL' น่าเชื่อถือน้อยลง? หลังจากระดมความคิดมาหนึ่งสัปดาห์ ฉันก็ตัดสินใจว่าคำตอบคือใช่" เขียนนักวิจัยนิรนาม ที่ใช้นามแฝงว่า mr.d0x.

การโจมตีที่ mr.d0x สร้างขึ้น ชื่อ browser-in-the-browser (BitB) ใช้ส่วนประกอบสำคัญสามส่วนของเว็บ—HTML, สไตล์ชีตแบบเรียงซ้อน (CSS) และ JavaScript—เพื่อสร้างหน้าต่างป๊อปอัป SSO ปลอมที่แยกไม่ออกจากของจริง สิ่ง.

"แถบ URL ปลอมสามารถบรรจุทุกอย่างที่ต้องการได้ แม้กระทั่งตำแหน่งที่ดูเหมือนถูกต้อง นอกจากนี้ การปรับเปลี่ยน JavaScript ทำให้การเลื่อนเมาส์ไปวางบนลิงก์หรือปุ่มเข้าสู่ระบบจะแสดงปลายทาง URL ที่ถูกต้องด้วยเช่นกัน" ฮิกกินส์กล่าวเสริมหลังจากตรวจสอบ mr. กลไกของ d0x

เพื่อสาธิต BitB mr.d0x ได้สร้าง Canva แพลตฟอร์มการออกแบบกราฟิกออนไลน์เวอร์ชันปลอม เมื่อมีคนคลิกเพื่อเข้าสู่ระบบเว็บไซต์ปลอมโดยใช้ตัวเลือก SSO เว็บไซต์จะแสดงหน้าต่างการเข้าสู่ระบบที่สร้างขึ้นด้วย BitB พร้อมข้อมูลที่ถูกต้อง ที่อยู่ของผู้ให้บริการ SSO ที่ปลอมแปลง เช่น Google เพื่อหลอกให้ผู้เยี่ยมชมป้อนข้อมูลรับรองการเข้าสู่ระบบ ซึ่งจะถูกส่งไปยัง ผู้โจมตี

เทคนิคนี้สร้างความประทับใจให้กับนักพัฒนาเว็บหลายคน "โอ้ แย่จัง: Browser In The Browser (BITB) Attack ซึ่งเป็นเทคนิคฟิชชิ่งแบบใหม่ที่ช่วยให้สามารถขโมยข้อมูลประจำตัวที่แม้แต่มืออาชีพด้านเว็บก็ตรวจไม่พบ" ฟร็องซัว ซานีนอตโต, CEO ของบริษัทพัฒนาเว็บและมือถือ Marmelab, เขียนบน Twitter

ดูว่าคุณกำลังไปไหน

แม้ว่า BitB จะน่าเชื่อมากกว่าหน้าต่างการเข้าสู่ระบบปลอมทั่วไปก็ตาม Higgins ได้แบ่งปันเคล็ดลับบางประการที่ผู้คนสามารถใช้เพื่อปกป้องตนเองได้

สำหรับผู้เริ่มต้น แม้ว่าหน้าต่างป๊อปอัป BitB SSO จะดูเหมือนป๊อปอัปที่ถูกต้องก็ตาม แต่จริงๆ แล้วไม่ใช่ ดังนั้น หากคุณคว้าแถบที่อยู่ของป๊อปอัปนี้แล้วพยายามลากไป มันจะไม่เคลื่อนเกินขอบของหน้าต่างหลัก หน้าต่างของเว็บไซต์ ต่างจากหน้าต่างป๊อปอัปจริง ๆ ที่แยกจากกันได้อย่างสมบูรณ์ และสามารถย้ายไปยังส่วนใดก็ได้ของ เดสก์ทอป.

ฮิกกินส์กล่าวว่าการทดสอบความถูกต้องของหน้าต่าง SSO โดยใช้วิธีนี้จะไม่ทำงานบนอุปกรณ์เคลื่อนที่ "นี่คือจุดที่ [การตรวจสอบสิทธิ์แบบหลายปัจจัย] หรือการใช้ตัวเลือกการตรวจสอบสิทธิ์แบบไม่ใช้รหัสผ่านมีประโยชน์จริงๆ แม้ว่าคุณจะตกเป็นเหยื่อของการโจมตีด้วย BitB [ผู้หลอกลวง] ก็ไม่จำเป็นต้อง [ใช้ข้อมูลประจำตัวที่ถูกขโมยของคุณ] หากไม่มีส่วนอื่น ๆ ของรูทีนการเข้าสู่ระบบ MFA" ฮิกกินส์แนะนำ

นอกจากนี้ เนื่องจากเป็นหน้าต่างการเข้าสู่ระบบปลอม ตัวจัดการรหัสผ่าน (หากคุณใช้) จะไม่กรอกข้อมูลประจำตัวโดยอัตโนมัติ ทำให้คุณหยุดชั่วคราวเพื่อสังเกตสิ่งผิดปกติ

สิ่งสำคัญที่ต้องจำไว้คือแม้ว่าป๊อปอัป BitB SSO จะมองเห็นได้ยาก แต่ก็ยังต้องเปิดขึ้นมาจากไซต์ที่เป็นอันตราย หากต้องการเห็นป๊อปอัปเช่นนี้ คุณจะต้องอยู่ในเว็บไซต์ปลอมแล้ว

นี่คือเหตุผลที่มาเต็มวง Adrien Gendre, Chief Tech and Product Officer ที่ Vade Secureแนะนำให้ผู้ใช้ดู URL ทุกครั้งที่คลิกลิงก์

"เช่นเดียวกับที่เราตรวจสอบหมายเลขที่ประตูเพื่อให้แน่ใจว่าเราอยู่ในห้องที่ถูกต้อง ผู้คนควรดู URL อย่างรวดเร็วเมื่อเรียกดูเว็บไซต์ อินเทอร์เน็ตไม่ใช่บ้านของเรา เป็นพื้นที่สาธารณะ เราต้องตรวจสอบสิ่งที่เรากำลังเยี่ยมชม” Gendre กล่าวเน้น