Võtmed kaasavõtmiseks
- Turbeuurija on välja töötanud viisi, kuidas luua väga veenvaid, kuid võltsitud ühekordse sisselogimise hüpikaknaid.
- Võltshüpikaknad kasutavad ehtsana näimiseks seaduslikke URL-e.
- Nikk näitab, et ainuüksi paroole kasutavate inimeste mandaat varastatakse varem või hiljem, hoiatavad eksperdid.
Veebis navigeerimine muutub iga päevaga keerulisemaks.
Enamik veebisaite pakub tänapäeval konto loomiseks mitut võimalust. Saate registreeruda veebisaidil või kasutada ühekordse sisselogimise (SSO) mehhanismi, et logida veebisaidile sisse, kasutades oma olemasolevaid kontosid hea mainega ettevõtetes, nagu Google, Facebook või Apple. Küberturvalisuse uurija on seda ära kasutanud ja loonud uudse mehhanismi teie sisselogimismandaatide varastamiseks, luues praktiliselt tuvastamatu võlts-SSO sisselogimisakna.
"SSO kasvav populaarsus pakub [inimestele] palju eeliseid," ütles Dispersive Holdings, Inc inseneridirektor Scott Higgins Lifewire'ile meili teel. "Kuid nutikad häkkerid kasutavad seda teed nüüd leidlikult ära."
Võltslogimine
Traditsiooniliselt on ründajad kasutanud selliseid taktikaid nagu homograafirünnakud, mis asendavad mõned algses URL-is olevad tähed sarnase välimusega tähemärkidega, et luua uusi, raskesti märgatavaid pahatahtlikke URL-e ja võltsitud sisselogimislehti.
See strateegia kukub aga sageli kokku, kui inimesed URL-i hoolik alt uurivad. Küberjulgeolekutööstus on pikka aega soovitanud inimestel kontrollida URL-i riba, et veenduda, et sellel on õige aadress, ja selle kõrval on roheline tabalukk, mis annab märku, et veebileht on turvaline.
"Kõik see pani mind lõpuks mõtlema, kas on võimalik muuta nõuannet "Kontrolli URL-i" vähem usaldusväärseks? Pärast nädalast ajurünnakut otsustasin, et vastus on jah," kirjutas anonüümne teadlane, kes kasutab pseudonüüm mr.d0x.
Loodud rünnak mr.d0x, nimega brauseris-in-the-browser (BitB), kasutab võltsingu loomiseks kolme olulist veebi-HTML-i ehitusplokki, kaskaadlaadilehti (CSS) ja JavaScripti. SSO hüpikaken, mis on sisuliselt eristamatu tegelikust asjast.
"Võlts URL-i riba võib sisaldada kõike, mida ta soovib, isegi näiliselt kehtivaid asukohti. Lisaks muudavad JavaScripti muudatused selle nii, et lingile või sisselogimisnupule hõljutades ilmuks ka näiliselt kehtiv URL-i sihtkoht, " lisas Higgins pärast hr. d0x mehhanism.
BitB demonstreerimiseks lõi mr.d0x veebipõhise graafilise disaini platvormi Canva võltsversiooni. Kui keegi klõpsab SSO-valiku abil võltsitud saidile sisselogimiseks, kuvatakse veebisaidil BitB loodud sisselogimisaken võltsitud SSO-teenuse pakkuja (nt Google'i) legitiimse aadressiga, et meelitada külastajat sisestama oma sisselogimismandaate, mis on seejärel saadeti ründajatele.
Tehnika on avaldanud muljet mitmetele veebiarendajatele. "Oh, see on vastik: Browser In The Browser (BITB) Attack, uus andmepüügitehnika, mis võimaldab varastada mandaate, mida isegi veebiprofessionaal ei suuda tuvastada," kirjutas veebi- ja mobiiliarendusettevõtte Marmelab tegevjuht François Zaninotto Twitteris.
Vaata, kuhu sa lähed
Kuigi BitB on veenvam kui tavalised võltsitud sisselogimisaknad, jagas Higgins mõningaid näpunäiteid, mida inimesed saavad enda kaitsmiseks kasutada.
Alustuseks, hoolimata sellest, et BitB SSO hüpikaken näeb välja nagu seaduslik hüpikaken, pole see tegelikult nii. Seega, kui haarate selle hüpikakna aadressiriba ja proovite seda lohistada, ei liigu see põhiveebisaidi akna servast kaugemale, erinev alt tõelisest hüpikaknast, mis on täiesti sõltumatu ja mida saab teisaldada mis tahes osa töölauast.
Higgins jagas, et SSO-akna legitiimsuse testimine selle meetodi abil ei tööta mobiilseadmes."See on koht, kus [mitmefaktoriline autentimine] või paroolita autentimisvõimaluste kasutamine võib tõesti abiks olla. Isegi kui satute BitB rünnaku ohvriks, ei saaks [petturid] ilmtingimata [teie varastatud mandaate kasutada] ilma teised MFA sisselogimisrutiini osad,“soovitas Higgins.
Internet pole meie kodu. Tegemist on avaliku ruumiga. Peame vaatama, mida külastame.
Samuti, kuna tegemist on võltssisselogimisaknaga, ei täida paroolihaldur (kui kasutate seda) automaatselt mandaate, andes teile jälle pausi, et midagi valesti tuvastada.
Samuti on oluline meeles pidada, et kuigi BitB SSO hüpikakent on raske märgata, tuleb see siiski käivitada pahatahtlikult saidilt. Sellise hüpikakna nägemiseks oleksite pidanud juba olema võltsveebisaidil.
Seetõttu soovitab Vade Secure'i tehnika- ja tootejuht Adrien Gendre inimestel iga kord, kui nad lingil klõpsavad, vaadata URL-e.
"Samamoodi, nagu kontrollime uksel olevat numbrit, veendumaks, et jõuame õigesse hotellituppa, peaksid inimesed veebisaiti sirvides alati kiiresti URL-e vaatama. Internet pole meie kodu. See on avalik ruum. Peame vaatama, mida külastame," rõhutas Gendre.
