Ключевые выводы
- Исследователь в области безопасности разработал способ создания очень убедительных, но фальшивых всплывающих окон с единым входом в систему.
- Фальшивые всплывающие окна используют законные URL-адреса, чтобы еще больше выглядеть подлинными.
- Уловка демонстрирует, что у людей, использующих только пароли, рано или поздно будут украдены учетные данные, предупреждают эксперты.
Навигация в Интернете с каждым днем становится все сложнее.
В наши дни большинство веб-сайтов предлагают несколько вариантов создания учетной записи. Вы можете либо зарегистрироваться на веб-сайте, либо использовать механизм единого входа (SSO) для входа на веб-сайт, используя существующие учетные записи в авторитетных компаниях, таких как Google, Facebook или Apple. Исследователь кибербезопасности извлек выгоду из этого и разработал новый механизм для кражи ваших учетных данных для входа в систему путем создания практически необнаружимого фальшивого окна входа в систему SSO.
«Растущая популярность SSO дает [людям] много преимуществ», - сообщил Lifewire по электронной почте Скотт Хиггинс, технический директор Dispersive Holdings, Inc. «Однако хитрые хакеры теперь изобретательно используют этот маршрут».
Поддельный вход
Традиционно злоумышленники использовали такие тактики, как атаки с использованием омографов, которые заменяют некоторые буквы в исходном URL-адресе похожими символами для создания новых, трудно обнаруживаемых вредоносных URL-адресов и поддельных страниц входа.
Однако эта стратегия часто разваливается, если люди внимательно изучают URL. Индустрия кибербезопасности давно советует людям проверять строку URL-адреса, чтобы убедиться, что в ней указан правильный адрес, а рядом с ней стоит зеленый замок, который сигнализирует о том, что веб-страница защищена.
"Все это в конце концов привело меня к мысли, можно ли сделать совет "Проверьте URL" менее надежным? После недели мозгового штурма я решил, что ответ положительный", - написал анонимный исследователь, использующий псевдоним, mr.d0x.
Атака, созданная mr.d0x и названная браузером в браузере (BitB), использует три основных строительных блока веб-HTML, каскадные таблицы стилей (CSS) и JavaScript для создания фальшивого Всплывающее окно SSO, которое практически неотличимо от реального.
"Поддельная строка URL может содержать все, что угодно, даже кажущиеся допустимыми местоположения. Кроме того, модификации JavaScript делают ее такой, что при наведении курсора на ссылку или кнопку входа в систему также всплывает кажущийся действительным URL-адрес назначения", добавил Хиггинс после осмотра MR. Механизм d0x.
Чтобы продемонстрировать BitB, mr.d0x создал поддельную версию онлайн-платформы для графического дизайна Canva. Когда кто-то нажимает, чтобы войти на поддельный сайт с помощью опции SSO, на веб-сайте появляется созданное BitB окно входа в систему с законным адресом поддельного поставщика SSO, такого как Google, чтобы обманным путем заставить посетителя ввести свои учетные данные для входа, которые затем отправили к нападавшим.
Эта техника впечатлила нескольких веб-разработчиков. «О, это противно: атака «Браузер в браузере» (BITB) - новый метод фишинга, который позволяет украсть учетные данные, которые не может обнаружить даже веб-профессионал», - написал в Twitter Франсуа Занинотто, генеральный директор компании Marmelab, занимающейся веб-разработкой и мобильными приложениями.
Смотри, куда идешь
Хотя BitB более убедителен, чем заурядные поддельные окна входа в систему, Хиггинс поделился несколькими советами, которые люди могут использовать, чтобы защитить себя.
Для начала, несмотря на то, что всплывающее окно BitB SSO выглядит как законное всплывающее окно, на самом деле это не так. Поэтому, если вы возьмете адресную строку этого всплывающего окна и попытаетесь перетащить его, оно не выйдет за край основного окна веб-сайта, в отличие от настоящего всплывающего окна, которое полностью независимо и может быть перемещено в любое место. часть рабочего стола.
Хиггинс поделился, что проверка легитимности окна единого входа с использованием этого метода не будет работать на мобильном устройстве.«Именно здесь [многофакторная аутентификация] или использование вариантов аутентификации без пароля могут быть действительно полезны. Даже если вы стали жертвой атаки BitB, [мошенники] не обязательно смогут [использовать ваши украденные учетные данные] без другие части процедуры входа в систему MFA, - предложил Хиггинс.
Интернет не наш дом. Это общественное пространство. Мы должны проверить, что мы посещаем.
Кроме того, поскольку это фальшивое окно входа в систему, менеджер паролей (если вы его используете) не будет автоматически вводить учетные данные, что снова даст вам паузу, чтобы заметить что-то неладное.
Также важно помнить, что, хотя всплывающее окно SSO BitB трудно обнаружить, оно все равно должно запускаться с вредоносного сайта. Чтобы увидеть такое всплывающее окно, вам уже нужно было находиться на поддельном веб-сайте.
Вот почему, замыкая круг, Адриен Джендре, директор по технологиям и продуктам Vade Secure, предлагает людям просматривать URL-адреса каждый раз, когда они нажимают на ссылку.
Точно так же, как мы проверяем номер на двери, чтобы убедиться, что оказались в нужном гостиничном номере, люди всегда должны быстро просматривать URL-адреса при просмотре веб-сайта. Интернет не наш дом. Это общественное пространство. Мы должны проверять, что мы посещаем», - подчеркнул Жандре.