Key Takeaways
- Istraživač sigurnosti je osmislio način da kreira vrlo uvjerljive, ali lažne iskačuće prozore za prijavu s jednom prijavom.
- Lažni iskačući prozori koriste legitimne URL-ove kako bi dalje izgledali originalno.
- Trik pokazuje da će ljudima koji koriste samo lozinke prije ili kasnije biti ukradeni akreditivi, upozoravaju stručnjaci.
Navigacija internetom postaje sve teže svakim danom.
Većina web stranica ovih dana nudi više opcija za kreiranje naloga. Možete se ili registrirati na web stranici ili koristiti mehanizam jedinstvene prijave (SSO) za prijavu na web stranicu koristeći svoje postojeće račune kod renomiranih kompanija kao što su Google, Facebook ili Apple. Istraživač kibernetičke sigurnosti je iskoristio ovo i osmislio novi mehanizam za krađu vaših akreditiva za prijavu kreiranjem lažnog prozora za prijavu na SSO koji se praktično ne može otkriti.
"Sve veća popularnost SSO-a pruža mnogo prednosti [ljudima]", rekao je Scott Higgins, direktor inženjeringa u Dispersive Holdings, Inc. za Lifewire putem e-pošte. "Međutim, pametni hakeri sada koriste ovu rutu na genijalan način."
Lažna prijava
Tradicionalno, napadači su koristili taktike kao što su homografski napadi koji zamjenjuju neka slova u originalnom URL-u znakovima sličnog izgleda kako bi stvorili nove, teško uočljive zlonamjerne URL-ove i lažne stranice za prijavu.
Međutim, ova strategija se često raspada ako ljudi pažljivo prouče URL. Industrija kibernetičke sigurnosti već dugo savjetuje ljudima da provjere URL traku kako bi se uvjerili da je navedena ispravna adresa i da ima zeleni katanac pored sebe, što signalizira da je web stranica sigurna.
"Sve me je ovo na kraju navelo na razmišljanje, da li je moguće učiniti savjet 'Provjeri URL' manje pouzdanim? Nakon tjedan dana razmišljanja odlučio sam da je odgovor da," napisao je anonimni istraživač koji koristi pseudonim, mr.d0x.
Napad koji je kreirao mr.d0x, nazvan browser-in-the-browser (BitB), koristi tri osnovna gradivna bloka web-HTML-a, kaskadne tablice stilova (CSS) i JavaScript-za izradu lažnog SSO iskačući prozor koji se u suštini ne razlikuje od prave stvari.
"Lažna URL traka može sadržavati sve što poželi, čak i naizgled valjane lokacije. Nadalje, JavaScript modifikacije čine tako da lebdeći mišem na linku ili dugmetu za prijavu iskače i naizgled važeće URL odredište", dodao je Higgins nakon pregleda mr. d0x-ov mehanizam.
Da bi demonstrirao BitB, mr.d0x je kreirao lažnu verziju online platforme za grafički dizajn, Canva. Kada neko klikne da bi se prijavio na lažnu web lokaciju koristeći SSO opciju, web stranica iskače prozor za prijavu napravljen BitB s legitimnom adresom lažnog SSO provajdera, kao što je Google, da prevari posjetitelja da unese svoje vjerodajnice za prijavu, koje su zatim poslat napadačima.
Tehnika je impresionirala nekoliko web programera. "Oh, to je gadno: Napad pretraživača u pretraživaču (BITB), nova tehnika krađe identiteta koja omogućava krađu akreditiva koje čak ni web profesionalac ne može otkriti", napisao je François Zaninotto, izvršni direktor kompanije za web i mobilne razvojne kompanije Marmelab, na Twitteru.
Pogledajte kuda idete
Dok je BitB uvjerljiviji od običnih lažnih prozora za prijavu, Higgins je podijelio nekoliko savjeta koje ljudi mogu koristiti da se zaštite.
Za početak, uprkos tome što BitB SSO iskačući prozor izgleda kao legitiman iskačući prozor, to zaista nije. Stoga, ako zgrabite adresnu traku ovog skočnog prozora i pokušate ga prevući, on se neće pomaknuti dalje od ruba prozora glavne web stranice, za razliku od pravog iskačućeg prozora koji je potpuno nezavisan i može se premjestiti na bilo koji dio radne površine.
Higgins je podijelio da testiranje legitimnosti SSO prozora korištenjem ove metode neće raditi na mobilnom uređaju."Ovdje [provjera autentičnosti s više faktora] ili korištenje opcija autentifikacije bez lozinke može biti od pomoći. Čak i ako ste postali žrtvom BitB napada, [prevaranti] ne bi nužno mogli [koristiti vaše ukradene vjerodajnice] bez ostali dijelovi rutine za prijavu u MFA", predložio je Higgins.
Internet nije naš dom. To je javni prostor. Moramo provjeriti šta posjećujemo.
Također, pošto se radi o lažnom prozoru za prijavu, upravitelj lozinki (ako ga koristite) neće automatski popuniti akreditive, što vam opet daje pauzu da uočite da nešto nije u redu.
Takođe je važno zapamtiti da, iako je iskačući prozor BitB SSO teško uočiti, on ipak mora biti pokrenut sa zlonamjerne stranice. Da biste vidjeli ovakav iskačući prozor, već biste morali biti na lažnoj web stranici.
Evo zašto, u punom krugu, Adrien Gendre, glavni tehnički i proizvodni direktor u Vade Secure-u, sugerira da bi ljudi trebali pogledati URL-ove svaki put kada kliknu na link.
"Na isti način na koji provjeravamo broj na vratima kako bismo bili sigurni da smo završili u pravoj hotelskoj sobi, ljudi bi uvijek trebali brzo pogledati URL-ove kada pretražuju web stranicu. Internet nije naš dom. To je javni prostor. Moramo provjeriti šta posjećujemo", naglasio je Gendre.
