Atslēgas līdzņemšanai
- Drošības pētnieks ir izstrādājis veidu, kā izveidot ļoti pārliecinošus, bet viltus vienas pierakstīšanās uznirstošos logus.
- Viltus uznirstošajos logos tiek izmantoti likumīgi vietrāži URL, lai tie turpmāk izskatītos īsti.
- Trifs parāda, ka cilvēkiem, kuri izmanto tikai paroles, agrāk vai vēlāk tiks nozagti akreditācijas dati, brīdina eksperti.
Pārvietošanās tīmeklī ar katru dienu kļūst sarežģītāka.
Lielākā daļa vietņu mūsdienās piedāvā vairākas konta izveides iespējas. Varat reģistrēties vietnē vai izmantot vienreizējās pierakstīšanās (SSO) mehānismu, lai pieteiktos vietnē, izmantojot esošos kontus cienījamos uzņēmumos, piemēram, Google, Facebook vai Apple. Kiberdrošības pētnieks to ir izmantojis un izstrādājis jaunu mehānismu jūsu pieteikšanās akreditācijas datu nozagšanai, izveidojot praktiski nenosakāmu viltotu SSO pieteikšanās logu.
"Pieaugošā SSO popularitāte [cilvēkiem] sniedz daudz priekšrocību," e-pastā Lifewire pastāstīja Skots Higinss, Dispersive Holdings, Inc inženierzinātņu direktors. "Tomēr gudri hakeri tagad ģeniāli izmanto šo ceļu."
Viltus pieteikšanās
Tradicionāli uzbrucēji ir izmantojuši tādu taktiku kā homogrāfu uzbrukumus, kas aizstāj dažus burtus sākotnējā URL ar līdzīga izskata rakstzīmēm, lai izveidotu jaunus, grūti pamanāmus ļaunprātīgus URL un viltotas pieteikšanās lapas.
Tomēr šī stratēģija bieži vien izjūk, ja cilvēki rūpīgi pārbauda URL. Kiberdrošības nozare jau sen ir ieteikusi cilvēkiem pārbaudīt URL joslu, lai pārliecinātos, ka tajā ir norādīta pareizā adrese, un blakus tai ir zaļa piekaramā atslēga, kas norāda, ka tīmekļa lapa ir droša.
"Tas viss galu galā lika man domāt, vai ir iespējams padarīt padomu "Pārbaudiet URL" mazāk uzticamu? Pēc nedēļu ilgas prāta vētras es nolēmu, ka atbilde ir "jā," raksta anonīmais pētnieks, kurš izmanto pseidonīms, mr.d0x.
Izveidotajā mr.d0x uzbrukumā ar nosaukumu Browser-in-the-browser (BitB) tiek izmantoti trīs galvenie tīmekļa HTML veidošanas bloki, kaskādes stila lapas (CSS) un JavaScript, lai izveidotu viltojumu. SSO uznirstošais logs, kas būtībā nav atšķirams no īstā.
"Viltus URL joslā var būt viss, ko tā vēlas, pat šķietami derīgas atrašanās vietas. Turklāt JavaScript modifikācijas padara to tā, ka, virzot kursoru uz saites vai pieteikšanās pogas, parādītos arī šķietami derīgs URL galamērķis, " piebilda. Higinss pēc mr. d0x mehānisms.
Lai demonstrētu BitB, mr.d0x izveidoja viltotu tiešsaistes grafiskā dizaina platformas Canva versiju. Kad kāds noklikšķina, lai pieteiktos viltotajā vietnē, izmantojot SSO opciju, vietnē tiek parādīts BitB izveidots pieteikšanās logs ar viltotā SSO nodrošinātāja, piemēram, Google, likumīgo adresi, lai maldinātu apmeklētāju ievadīt savus pieteikšanās akreditācijas datus, kas ir pēc tam nosūtīts uzbrucējiem.
Šis paņēmiens ir pārsteidzis vairākus tīmekļa izstrādātājus. "Oh, tas ir pretīgi: Browser In The Browser (BITB) Attack, jauna pikšķerēšanas tehnika, kas ļauj nozagt akreditācijas datus, ko pat tīmekļa profesionālis nevar atklāt," Twitter rakstīja tīmekļa un mobilo ierīču izstrādes uzņēmuma Marmelab izpilddirektors Fransuā Zaninoto.
Paskaties, kurp dodies
Lai gan BitB ir pārliecinošāks par praktiskiem viltus pieteikšanās logiem, Higinss dalījās ar dažiem padomiem, ko cilvēki var izmantot, lai aizsargātu sevi.
Iesācējiem, neskatoties uz to, ka BitB SSO uznirstošais logs izskatās kā likumīgs uznirstošais logs, tas tā nav. Tāpēc, ja jūs satverat šī uznirstošā loga adreses joslu un mēģināt to vilkt, tas nepārvietosies tālāk par galvenās vietnes loga malu, atšķirībā no īsta uznirstošā loga, kas ir pilnīgi neatkarīgs un var tikt pārvietots uz jebkuru darbvirsmas daļa.
Higinss dalījās, ka SSO loga leģitimitātes pārbaude, izmantojot šo metodi, nedarbosies mobilajā ierīcē."Šeit [daudzfaktoru autentifikācija] vai bezparoles autentifikācijas iespēju izmantošana patiešām var būt noderīga. Pat ja jūs kļūtu par BitB uzbrukuma upuri, [krāpnieki] ne vienmēr varētu [izmantot jūsu nozagtos akreditācijas datus] bez pārējās MFA pieteikšanās rutīnas daļas,” ierosināja Higinss.
Internets nav mūsu mājas. Tā ir publiska telpa. Mums ir jāpārbauda, ko mēs apmeklējam.
Tā kā tas ir viltus pieteikšanās logs, paroļu pārvaldnieks (ja tādu lietojat) automātiski neaizpildīs akreditācijas datus, tādējādi atkal ļaujot jums pauzēt, lai pamanītu kaut ko nepareizi.
Ir arī svarīgi atcerēties, ka, lai gan BitB SSO uznirstošo logu ir grūti pamanīt, tas joprojām ir jāpalaiž no ļaunprātīgas vietnes. Lai redzētu šādu uznirstošo logu, jums jau bija jāatrodas viltotā vietnē.
Šī iemesla dēļ Adriens Gendre, Vade Secure galvenais tehnoloģiju un produktu vadītājs, iesaka cilvēkiem katru reizi, kad viņi noklikšķina uz saites, apskatīt vietrāžus URL.
"Tāpat kā mēs pārbaudām numuru uz durvīm, lai pārliecinātos, ka nonākam pareizajā viesnīcas numurā, cilvēkiem, pārlūkojot vietni, vienmēr vajadzētu ātri apskatīt vietrāžus URL. Internets nav mūsu mājas. Tā ir publiska telpa. Mums ir jāpārbauda, ko mēs apmeklējam," uzsvēra Gendre.