Ključni podaci za van
- Istraživač sigurnosti osmislio je način za stvaranje vrlo uvjerljivih, ali lažnih skočnih prozora za jednostruku prijavu.
- Lažni skočni prozori koriste legitimne URL-ove kako bi dalje izgledali autentično.
- Trik pokazuje da će ljudima koji koriste samo lozinke vjerodajnice biti ukradene prije ili kasnije, upozoravaju stručnjaci.
Kretanje internetom svakim je danom sve teže.
Većina web stranica ovih dana nudi više opcija za stvaranje računa. Možete se ili registrirati na web mjestu ili koristiti mehanizam jedinstvene prijave (SSO) za prijavu na web mjesto koristeći svoje postojeće račune kod renomiranih tvrtki kao što su Google, Facebook ili Apple. Istraživač kibernetičke sigurnosti iskoristio je ovo i osmislio novi mehanizam za krađu vaših vjerodajnica za prijavu stvaranjem lažnog SSO prozora za prijavu koji se gotovo ne može otkriti.
"Rastuća popularnost SSO-a pruža mnoge prednosti [ljudima]," Scott Higgins, direktor inženjeringa u Dispersive Holdings, Inc, rekao je za Lifewire putem e-pošte. "Međutim, pametni hakeri sada iskorištavaju ovu rutu na genijalan način."
Lažna prijava
Tradicionalno, napadači su koristili taktike kao što su homografski napadi koji zamjenjuju neka slova u izvornom URL-u znakovima sličnog izgleda kako bi stvorili nove zlonamjerne URL-ove koje je teško uočiti i lažne stranice za prijavu.
Međutim, ova strategija često pada u vodu ako ljudi pažljivo prouče URL. Industrija kibernetičke sigurnosti već dugo savjetuje ljudima da provjere URL traku kako bi se uvjerili da je navedena ispravna adresa i da ima zeleni lokot pored sebe, što signalizira da je web stranica sigurna.
"Sve me ovo na kraju navelo na razmišljanje je li moguće savjet 'Provjeri URL' učiniti manje pouzdanim? Nakon tjedan dana razmišljanja odlučio sam da je odgovor potvrdan, " napisao je anonimni istraživač koji koristi pseudonim, mr.d0x.
Napad koji je stvorio mr.d0x, nazvan preglednik u pregledniku (BitB), koristi tri bitna građevna bloka web-HTML, kaskadne stilske listove (CSS) i JavaScript za izradu lažnog SSO skočni prozor koji se u biti ne razlikuje od pravog.
"Lažna URL traka može sadržavati što god poželi, čak i naizgled valjane lokacije. Nadalje, modifikacije JavaScripta omogućuju da lebdeći pokazivač miša na poveznici ili gumbu za prijavu također iskoči naizgled važeće URL odredište, " dodano Higgins je nakon pregleda mr. d0xov mehanizam.
Kako bi demonstrirao BitB, mr.d0x je stvorio lažnu verziju online platforme za grafički dizajn, Canva. Kada netko klikne da bi se prijavio na lažnu stranicu koristeći SSO opciju, web stranica iskače BitB kreirani prozor za prijavu s legitimnom adresom lažnog SSO pružatelja, kao što je Google, kako bi prevario posjetitelja da unese svoje vjerodajnice za prijavu, koje su zatim poslao napadačima.
Tehnika je impresionirala nekoliko web programera. "Oh, to je gadno: Browser In The Browser (BITB) Attack, nova tehnika krađe identiteta koja omogućuje krađu vjerodajnica koje čak ni web profesionalac ne može otkriti," François Zaninotto, izvršni direktor tvrtke za web i mobilni razvoj Marmelab, napisao je na Twitteru.
Gledaj kamo ideš
Iako je BitB uvjerljiviji od uobičajenih lažnih prozora za prijavu, Higgins je podijelio nekoliko savjeta pomoću kojih se ljudi mogu zaštititi.
Za početak, unatoč tome što skočni prozor BitB SSO izgleda kao legitiman skočni prozor, on to zapravo nije. Stoga, ako zgrabite adresnu traku ovog skočnog prozora i pokušate ga povući, neće se pomaknuti dalje od ruba prozora glavnog web-mjesta, za razliku od pravog skočnog prozora koji je potpuno neovisan i može se premjestiti na bilo koji dio radne površine.
Higgins je podijelio da testiranje legitimnosti SSO prozora ovom metodom ne bi funkcioniralo na mobilnom uređaju."Ovdje [provjera autentičnosti s više faktora] ili upotreba opcija provjere autentičnosti bez lozinke može doista biti od pomoći. Čak i ako ste postali žrtva BitB napada, [prevaranti] ne bi nužno mogli [upotrijebiti vaše ukradene vjerodajnice] bez drugi dijelovi MFA rutine prijave, " predložio je Higgins.
Internet nije naš dom. To je javni prostor. Moramo provjeriti što posjećujemo.
Također, budući da se radi o lažnom prozoru za prijavu, upravitelj lozinki (ako ga koristite) neće automatski popuniti vjerodajnice, što vam opet daje pauzu da uočite nešto loše.
Također je važno upamtiti da, iako je skočni prozor BitB SSO teško uočiti, on ipak mora biti pokrenut sa zlonamjerne stranice. Da biste vidjeli ovakav skočni prozor, već biste morali biti na lažnoj web stranici.
Ovo je razlog zašto, zaokruživši krug, Adrien Gendre, tehnički i proizvodni direktor u Vade Secureu, predlaže da bi ljudi trebali pogledati URL-ove svaki put kada kliknu vezu.
"Na isti način na koji provjeravamo broj na vratima kako bismo bili sigurni da smo završili u pravoj hotelskoj sobi, ljudi bi uvijek trebali na brzinu pogledati URL-ove kada pregledavaju web-stranicu. Internet nije naš dom. To je javni prostor. Moramo provjeriti što posjećujemo, " naglasio je Gendre.
