Ključni izsledki
- Raziskovalec varnosti je iznašel način za ustvarjanje zelo prepričljivih, a lažnih pojavnih oken za prijavo z enotno prijavo.
- Lažna pojavna okna uporabljajo zakonite URL-je, da so videti pristna.
- Trik dokazuje, da bodo ljudem, ki uporabljajo samo gesla, prej ali slej ukradene poverilnice, opozarjajo strokovnjaki.
Navigacija po spletu je vsak dan težje.
Večina spletnih mest danes ponuja več možnosti za ustvarjanje računa. Lahko se registrirate na spletnem mestu ali uporabite mehanizem enotne prijave (SSO), da se prijavite na spletno mesto z obstoječimi računi pri uglednih podjetjih, kot so Google, Facebook ali Apple. Raziskovalec kibernetske varnosti je to izkoristil in zasnoval nov mehanizem za krajo vaših poverilnic za prijavo z ustvarjanjem lažnega prijavnega okna SSO, ki ga skoraj ni mogoče zaznati.
"Naraščajoča priljubljenost SSO [ljudem] prinaša veliko koristi," je za Lifewire po elektronski pošti povedal Scott Higgins, direktor inženiringa pri Dispersive Holdings, Inc. "Vendar premeteni hekerji to pot zdaj izkoriščajo na iznajdljiv način."
Lažna prijava
Tradicionalno so napadalci uporabljali taktike, kot so homografski napadi, ki zamenjajo nekatere črke v izvirnem URL-ju s podobnimi znaki, da ustvarijo nove, težko vidne zlonamerne URL-je in lažne prijavne strani.
Vendar se ta strategija pogosto izjalovi, če ljudje skrbno pregledajo URL. Industrija kibernetske varnosti že dolgo svetuje ljudem, naj preverijo vrstico URL in se prepričajo, da je naveden pravilen naslov ter da je poleg zelene ključavnice, ki signalizira, da je spletna stran varna.
»Vse to me je sčasoma pripeljalo do razmišljanja, ali je mogoče narediti nasvet 'Preveri URL' manj zanesljiv? Po enem tednu razmišljanja sem se odločil, da je odgovor pritrdilen,« je zapisal anonimni raziskovalec, ki uporablja psevdonim, mr.d0x.
Napad, ki ga je ustvaril mr.d0x, imenovan brskalnik v brskalniku (BitB), uporablja tri bistvene gradnike spletnega HTML-ja, kaskadne slogovne liste (CSS) in JavaScript-za izdelavo ponaredka Pojavno okno SSO, ki se v bistvu ne razlikuje od pravega.
"Vrstica z lažnimi URL-ji lahko vsebuje karkoli hoče, tudi navidezno veljavne lokacije. Poleg tega spremembe JavaScripta omogočajo, da se s kazalcem miške nad povezavo ali gumbom za prijavo prikaže tudi navidezno veljaven cilj URL-ja," je dodal Higgins po pregledu g. d0xov mehanizem.
Za predstavitev BitB je mr.d0x ustvaril lažno različico spletne platforme za grafično oblikovanje Canva. Ko nekdo klikne, da se prijavi na lažno spletno mesto z možnostjo SSO, spletno mesto prikaže okno za prijavo, izdelano BitB, z zakonitim naslovom ponarejenega ponudnika SSO, kot je Google, da obiskovalca zavede, da vnese svoje poverilnice za prijavo, ki so nato poslala napadalcem.
Tehnika je navdušila več spletnih razvijalcev. "Oh, to je grdo: Browser In The Browser (BITB) Attack, nova tehnika lažnega predstavljanja, ki omogoča krajo poverilnic, ki jih niti spletni strokovnjak ne more zaznati," je na Twitterju zapisal François Zaninotto, izvršni direktor podjetja za spletni in mobilni razvoj Marmelab.
Poglej, kam greš
Medtem ko je BitB prepričljivejši od navadnih lažnih prijavnih oken, je Higgins delil nekaj nasvetov, s katerimi se lahko ljudje zaščitijo.
Za začetek, kljub temu, da je pojavno okno BitB SSO videti kot legitimno pojavno okno, v resnici ni. Če torej zgrabite naslovno vrstico tega pojavnega okna in ga poskusite povleči, se ne bo premaknilo čez rob okna glavnega spletnega mesta, za razliko od pravega pojavnega okna, ki je popolnoma neodvisno in ga je mogoče premakniti v katero koli del namizja.
Higgins je povedal, da testiranje legitimnosti okna SSO s to metodo ne bi delovalo na mobilni napravi."Tu je lahko resnično koristna [večfaktorska avtentikacija] ali uporaba možnosti avtentikacije brez gesla. Tudi če bi postali žrtev napada BitB, [prevaranti] ne bi mogli [uporabiti vaših ukradenih poverilnic] brez druge dele prijavne rutine MFA, « je predlagal Higgins.
Internet ni naš dom. Je javni prostor. Moramo preveriti, kaj obiskujemo.
Poleg tega, ker gre za lažno okno za prijavo, upravitelj gesel (če ga uporabljate) ne bo samodejno izpolnil poverilnic, zaradi česar se boste znova ustavili, da bi opazili, da je kaj narobe.
Pomembno si je tudi zapomniti, da čeprav je pojavno okno BitB SSO težko opaziti, ga je vseeno treba zagnati z zlonamernega mesta. Če želite videti takšno pojavno okno, bi že morali biti na lažni spletni strani.
Zato Adrien Gendre, glavni tehnični in produktni direktor pri Vade Secure, predlaga, da bi ljudje pogledali URL-je vsakič, ko kliknejo povezavo.
"Podobno kot preverjamo številko na vratih, da se prepričamo, ali smo prišli v pravo hotelsko sobo, bi morali ljudje vedno hitro pogledati URL-je, ko brskajo po spletnem mestu. Internet ni naš dom. To je javni prostor. Moramo preveriti, kaj obiskujemo, " je poudaril Gendre.
