Recomandări cheie
- Un cercetător în domeniul securității a conceput o modalitate de a crea ferestre pop-up de conectare cu conectare unică foarte convingătoare, dar false.
- Fer-urile de tip pop-up false folosesc adrese URL legitime pentru a apărea în continuare autentice.
- Trucul demonstrează că persoanelor care folosesc numai parole li se vor fura acreditările mai devreme sau mai târziu, avertizează experții.
Navigarea pe web devine din ce în ce mai dificilă în fiecare zi.
Majoritatea site-urilor web din aceste zile oferă mai multe opțiuni pentru a crea un cont. Puteți fie să vă înregistrați pe site, fie să utilizați mecanismul de conectare unică (SSO) pentru a vă autentifica pe site folosind conturile dvs. existente la companii de renume precum Google, Facebook sau Apple. Un cercetător în securitate cibernetică a valorificat acest lucru și a conceput un mecanism nou pentru a vă fura acreditările de conectare prin crearea unei ferestre de conectare SSO false practic nedetectabile.
„Popularitatea tot mai mare a SSO oferă o mulțime de beneficii [oamenilor]”, a declarat Scott Higgins, director de inginerie la Dispersive Holdings, Inc pentru Lifewire prin e-mail. „Cu toate acestea, hackerii inteligenți profită acum de această rută într-un mod ingenios.”
Conectare falsă
În mod tradițional, atacatorii au folosit tactici precum atacurile omografe care înlocuiesc unele dintre literele din adresa URL inițială cu caractere asemănătoare pentru a crea adrese URL rău intenționate noi, greu de identificat și pagini de conectare false.
Cu toate acestea, această strategie se destramă adesea dacă oamenii examinează cu atenție adresa URL. Industria securității cibernetice îi sfătuiește de multă vreme pe oameni să verifice bara de adrese URL pentru a se asigura că afișează adresa corectă și are lângă ea un lacăt verde, care semnalează că pagina web este sigură.
„Toate acestea m-au determinat în cele din urmă să mă gândesc, este posibil să fac sfatul „Verificați adresa URL” mai puțin fiabil? După o săptămână de brainstorming, am decis că răspunsul este da”, a scris cercetătorul anonim care folosește pseudonimul, mr.d0x.
Atacul creat de mr.d0x, numit browser-in-the-browser (BitB), folosește cele trei blocuri esențiale ale HTML-ului web, foilor de stil în cascadă (CSS) și JavaScript-pentru a crea un fals Fereastra pop-up SSO care, în esență, nu se poate distinge de cea reală.
"Bara de adrese URL false poate conține orice dorește, chiar și locații aparent valide. În plus, modificările JavaScript fac astfel încât trecerea cursorului pe link sau pe butonul de conectare să apară și o destinație URL aparent validă ", a adăugat Higgins după ce l-a examinat pe dl. mecanismul lui d0x.
Pentru a demonstra BitB, mr.d0x a creat o versiune falsă a platformei online de design grafic, Canva. Când cineva face clic pentru a se conecta la site-ul fals utilizând opțiunea SSO, site-ul web apare fereastra de conectare creată de BitB cu adresa legitimă a furnizorului SSO falsificat, cum ar fi Google, pentru a păcăli vizitatorul să-și introducă acreditările de conectare, care sunt apoi trimis la atacatori.
Tehnica a impresionat mai mulți dezvoltatori web. „Ooh, asta e urât: Browser In The Browser (BITB) Attack, o nouă tehnică de phishing care permite furtul de acreditări pe care nici măcar un profesionist web nu le poate detecta”, a scris François Zaninotto, CEO al companiei de dezvoltare web și mobilă Marmelab, pe Twitter.
Uite unde mergi
În timp ce BitB este mai convingător decât ferestrele de conectare false comune, Higgins a împărtășit câteva sfaturi pe care oamenii le pot folosi pentru a se proteja.
Pentru început, în ciuda faptului că fereastra pop-up BitB SSO arată ca un pop-up legitim, chiar nu este. Prin urmare, dacă apucați bara de adrese a acestei ferestre pop-up și încercați să o trageți, aceasta nu se va deplasa dincolo de marginea ferestrei site-ului principal, spre deosebire de o fereastră pop-up reală care este complet independentă și poate fi mutată în orice parte a desktopului.
Higgins a spus că testarea legitimității ferestrei SSO folosind această metodă nu ar funcționa pe un dispozitiv mobil.„Aici este locul în care [autentificarea cu mai mulți factori] sau utilizarea opțiunilor de autentificare fără parolă poate fi cu adevărat utilă. Chiar dacă ați căzut pradă atacului BitB, [escrocii] nu ar putea neapărat să [utilizeze acreditările dvs. furate] fără celel alte părți ale unei rutine de conectare MFA”, a sugerat Higgins.
Internetul nu este casa noastră. Este un spațiu public. Trebuie să verificăm ce vizităm.
De asemenea, deoarece este o fereastră de conectare falsă, managerul de parole (dacă utilizați una) nu va completa automat datele de conectare, oferindu-vă din nou o pauză pentru a observa ceva greșit.
De asemenea, este important să rețineți că, deși fereastra pop-up BitB SSO este greu de detectat, trebuie totuși lansată de pe un site rău intenționat. Pentru a vedea o fereastră pop-up ca aceasta, ar fi trebuit să fii deja pe un site web fals.
Iată de ce, când cercul complet, Adrien Gendre, Chief Tech and Product Officer la Vade Secure, sugerează că oamenii ar trebui să se uite la adresele URL de fiecare dată când fac clic pe un link.
În același mod în care verificăm numărul de pe ușă pentru a ne asigura că ajungem în camera de hotel potrivită, oamenii ar trebui să arunce întotdeauna o privire rapidă la adresele URL atunci când navighează pe un site web. Internetul nu este casa noastră. Este un spațiu public. Trebuie să verificăm ce vizităm”, a subliniat Gendre.
