Βασικά Takeaways
- Ένας ερευνητής ασφάλειας επινόησε έναν τρόπο για να δημιουργήσει πολύ πειστικά αλλά πλαστά αναδυόμενα παράθυρα σύνδεσης με μία μόνο σύνδεση.
- Τα ψεύτικα αναδυόμενα παράθυρα χρησιμοποιούν νόμιμες διευθύνσεις URL για να φαίνονται ακόμη γνήσια.
- Το κόλπο δείχνει ότι τα διαπιστευτήριά τους αργά ή γρήγορα θα κλαπούν τα διαπιστευτήριά τους σε άτομα που χρησιμοποιούν μόνο κωδικούς πρόσβασης, προειδοποιούν οι ειδικοί.
Η πλοήγηση στον ιστό γίνεται πιο δύσκολη κάθε μέρα.
Οι περισσότεροι ιστότοποι αυτές τις μέρες προσφέρουν πολλές επιλογές για τη δημιουργία λογαριασμού. Μπορείτε είτε να εγγραφείτε στον ιστότοπο είτε να χρησιμοποιήσετε τον μηχανισμό ενιαίας σύνδεσης (SSO) για να συνδεθείτε στον ιστότοπο χρησιμοποιώντας τους υπάρχοντες λογαριασμούς σας σε αξιόπιστες εταιρείες όπως η Google, το Facebook ή η Apple. Ένας ερευνητής κυβερνοασφάλειας το εκμεταλλεύτηκε και επινόησε έναν νέο μηχανισμό για να κλέψει τα διαπιστευτήρια σύνδεσής σας δημιουργώντας ένα σχεδόν μη ανιχνεύσιμο ψεύτικο παράθυρο σύνδεσης SSO.
"Η αυξανόμενη δημοτικότητα του SSO παρέχει πολλά οφέλη στους [τους ανθρώπους]", είπε στο Lifewire μέσω email ο Scott Higgins, Διευθυντής Μηχανικής της Dispersive Holdings, Inc. "Ωστόσο, έξυπνοι χάκερ εκμεταλλεύονται τώρα αυτή τη διαδρομή με έξυπνο τρόπο."
Ψεύτικη σύνδεση
Παραδοσιακά, οι εισβολείς έχουν χρησιμοποιήσει τακτικές όπως επιθέσεις με ομόγραφα που αντικαθιστούν ορισμένα από τα γράμματα στην αρχική διεύθυνση URL με παρόμοιους χαρακτήρες για να δημιουργήσουν νέες, δυσεύρετες κακόβουλες διευθύνσεις URL και ψεύτικες σελίδες σύνδεσης.
Ωστόσο, αυτή η στρατηγική συχνά καταρρέει εάν οι χρήστες εξετάσουν προσεκτικά τη διεύθυνση URL. Ο κλάδος της κυβερνοασφάλειας έχει από καιρό συμβουλέψει τους ανθρώπους να ελέγχουν τη γραμμή URL για να βεβαιωθούν ότι αναφέρει τη σωστή διεύθυνση και έχει ένα πράσινο λουκέτο δίπλα του, το οποίο σηματοδοτεί ότι η ιστοσελίδα είναι ασφαλής.
"Όλα αυτά τελικά με οδήγησαν να σκεφτώ, είναι δυνατόν να γίνει λιγότερο αξιόπιστη η συμβουλή "Ελέγξτε τη διεύθυνση URL"; Μετά από μια εβδομάδα καταιγισμού ιδεών, αποφάσισα ότι η απάντηση είναι ναι", έγραψε ο ανώνυμος ερευνητής που χρησιμοποιεί το ψευδώνυμο, mr.d0x.
Η επίθεση mr.d0x που δημιουργήθηκε, με το όνομα browser-in-the-browser (BitB), χρησιμοποιεί τα τρία βασικά δομικά στοιχεία του web-HTML, των επικαλυπτόμενων φύλλων στυλ (CSS) και της JavaScript-για να δημιουργήσει ένα ψεύτικο Αναδυόμενο παράθυρο SSO που ουσιαστικά δεν διακρίνεται από το πραγματικό.
"Η ψεύτικη γραμμή URL μπορεί να περιέχει ό,τι θέλει, ακόμη και φαινομενικά έγκυρες τοποθεσίες. Επιπλέον, οι τροποποιήσεις JavaScript το καθιστούν έτσι ώστε αν τοποθετήσετε το δείκτη του ποντικιού στον σύνδεσμο ή το κουμπί σύνδεσης να εμφανιστεί επίσης ένας φαινομενικά έγκυρος προορισμός διεύθυνσης URL", πρόσθεσε Ο Χίγκινς αφού εξέτασε τον κ. μηχανισμός του d0x.
Για να επιδείξει το BitB, ο mr.d0x δημιούργησε μια ψεύτικη έκδοση της διαδικτυακής πλατφόρμας γραφιστικής Canva. Όταν κάποιος κάνει κλικ για να συνδεθεί στον ψεύτικο ιστότοπο χρησιμοποιώντας την επιλογή SSO, ο ιστότοπος εμφανίζει το παράθυρο σύνδεσης δημιουργημένου BitB με τη νόμιμη διεύθυνση του πλαστού παρόχου SSO, όπως η Google, για να εξαπατήσει τον επισκέπτη να εισαγάγει τα διαπιστευτήρια σύνδεσής του, τα οποία είναι στη συνέχεια εστάλη στους επιτιθέμενους.
Η τεχνική έχει εντυπωσιάσει αρκετούς προγραμματιστές ιστού. "Ωχ, αυτό είναι άσχημο: Browser In The Browser (BITB) Attack, μια νέα τεχνική phishing που επιτρέπει την κλοπή διαπιστευτηρίων που ακόμη και ένας επαγγελματίας του Διαδικτύου δεν μπορεί να εντοπίσει", έγραψε στο Twitter ο François Zaninotto, Διευθύνων Σύμβουλος της εταιρείας ανάπτυξης ιστού και κινητών τηλεφώνων Marmelab..
Κοίτα πού πας
Ενώ το BitB είναι πιο πειστικό από τα ψεύτικα παράθυρα σύνδεσης, ο Χίγκινς μοιράστηκε μερικές συμβουλές που μπορούν να χρησιμοποιήσουν οι άνθρωποι για να προστατευτούν.
Για αρχή, παρά το γεγονός ότι το αναδυόμενο παράθυρο BitB SSO μοιάζει με νόμιμο αναδυόμενο παράθυρο, στην πραγματικότητα δεν είναι. Επομένως, εάν πιάσετε τη γραμμή διευθύνσεων αυτού του αναδυόμενου παραθύρου και προσπαθήσετε να το σύρετε, δεν θα μετακινηθεί πέρα από την άκρη του παραθύρου του κύριου ιστότοπου, σε αντίθεση με ένα πραγματικό αναδυόμενο παράθυρο που είναι εντελώς ανεξάρτητο και μπορεί να μετακινηθεί σε οποιοδήποτε μέρος της επιφάνειας εργασίας.
Ο Higgins μοιράστηκε ότι η δοκιμή της νομιμότητας του παραθύρου SSO χρησιμοποιώντας αυτήν τη μέθοδο δεν θα λειτουργούσε σε φορητή συσκευή."Αυτό είναι όπου ο [έλεγχος ταυτότητας πολλαπλών παραγόντων] ή η χρήση επιλογών ελέγχου ταυτότητας χωρίς κωδικό πρόσβασης μπορεί πραγματικά να είναι χρήσιμη. Ακόμα κι αν πέσατε θύματα της επίθεσης BitB, [οι απατεώνες] δεν θα μπορούσαν απαραίτητα να [χρησιμοποιήσουν τα κλεμμένα διαπιστευτήριά σας] χωρίς τα άλλα μέρη μιας ρουτίνας σύνδεσης MFA», πρότεινε ο Higgins.
Το Διαδίκτυο δεν είναι το σπίτι μας. Είναι δημόσιος χώρος. Πρέπει να ελέγξουμε τι επισκεπτόμαστε.
Επίσης, επειδή είναι ένα ψεύτικο παράθυρο σύνδεσης, ο διαχειριστής κωδικών πρόσβασης (εάν χρησιμοποιείτε) δεν θα συμπληρώσει αυτόματα τα διαπιστευτήρια, δίνοντάς σας ξανά παύση για να εντοπίσετε κάτι που δεν πάει καλά.
Είναι επίσης σημαντικό να θυμάστε ότι, ενώ το αναδυόμενο παράθυρο BitB SSO είναι δύσκολο να εντοπιστεί, πρέπει να εκκινείται από κακόβουλο ιστότοπο. Για να δείτε ένα αναδυόμενο παράθυρο όπως αυτό, θα έπρεπε ήδη να βρίσκεστε σε έναν ψεύτικο ιστότοπο.
Αυτός είναι ο λόγος που ολοκληρώνεται ο κύκλος του, ο Adrien Gendre, Chief Tech and Product Officer στο Vade Secure, προτείνει στους χρήστες να κοιτάζουν τις διευθύνσεις URL κάθε φορά που κάνουν κλικ σε έναν σύνδεσμο.
Με τον ίδιο τρόπο που ελέγχουμε τον αριθμό στην πόρτα για να βεβαιωθούμε ότι θα καταλήξουμε στο σωστό δωμάτιο ξενοδοχείου, οι άνθρωποι θα πρέπει πάντα να έχουν μια γρήγορη ματιά στις διευθύνσεις URL όταν περιηγούνται σε έναν ιστότοπο. Το Διαδίκτυο δεν είναι το σπίτι μας. Είναι ένας δημόσιος χώρος. Πρέπει να ελέγξουμε τι επισκεπτόμαστε», τόνισε ο Gendre.
