Keeawayt
- Tietoturvatutkija on kehittänyt tavan luoda erittäin vakuuttavia mutta väärennettyjä kertakirjautumisen ponnahdusikkunoita.
- Väärennetyt ponnahdusikkunat käyttävät laillisia URL-osoitteita näyttääkseen edelleen aidolta.
- Tekki osoittaa, että pelkkä salasanoja käyttäviltä henkilöiltä varastetaan heidän tunnistetiedot ennemmin tai myöhemmin, varoittavat asiantuntijat.
Verkossa liikkuminen vaikeutuu päivä päivältä.
Useimmat verkkosivustot tarjoavat nykyään useita vaihtoehtoja tilin luomiseen. Voit joko rekisteröityä verkkosivustolle tai käyttää kertakirjautumismekanismia (SSO) kirjautuaksesi sisään verkkosivustolle käyttämällä olemassa olevia tilejäsi hyvämaineisissa yrityksissä, kuten Google, Facebook tai Apple. Kyberturvallisuustutkija on hyödyntänyt tätä ja kehittänyt uudenlaisen mekanismin kirjautumistietojesi varastamiseksi luomalla käytännöllisesti katsoen havaitsemattoman väärennetyn SSO-kirjautumisikkunan.
"SSO:n kasvava suosio tarjoaa [ihmisille] paljon etuja", Dispersive Holdings, Inc:n suunnittelujohtaja Scott Higgins kertoi Lifewirelle sähköpostitse. "Älykkäät hakkerit kuitenkin hyödyntävät nyt tätä reittiä nerokkaasti."
Väärennetty kirjautuminen
Hyökkääjät ovat perinteisesti käyttäneet taktiikkaa, kuten homografihyökkäyksiä, jotka korvaavat osan alkuperäisen URL-osoitteen kirjaimista samannäköisillä merkeillä luodakseen uusia, vaikeasti havaittavia haitallisia URL-osoitteita ja vääriä kirjautumissivuja.
Tämä strategia kuitenkin usein hajoaa, jos ihmiset tarkastelevat URL-osoitetta huolellisesti. Kyberturvallisuusteollisuus on jo pitkään neuvonut ihmisiä tarkistamaan URL-palkin varmistaakseen, että siinä on oikea osoite, ja sen vieressä on vihreä riippulukko, joka osoittaa, että verkkosivu on suojattu.
"Kaikki tämä sai minut lopulta miettimään, onko mahdollista tehdä "Tarkista URL-osoite" -ohjeesta vähemmän luotettavia? Viikon aivoriihen jälkeen päätin, että vastaus on kyllä", kirjoitti nimetön tutkija, joka käyttää pseudonyymi, mr.d0x.
Hyökkäys mr.d0x, jonka nimi on selain-in-the-browser (BitB), käyttää web-HTML:n, CSS-tyylisivujen (CSS) ja JavaScriptin kolmea olennaista rakennuspalikoita väärennöksen luomiseen. SSO-ponnahdusikkuna, jota ei käytännössä voi erottaa todellisesta asiasta.
"Väärennetty URL-osoitepalkki voi sisältää mitä tahansa, jopa näennäisesti kelvollisia sijainteja. Lisäksi JavaScript-muokkaukset tekevät siitä niin, että linkin tai kirjautumispainikkeen päällä vieminen ponnahtaa näkyviin myös näennäisesti kelvollisen URL-osoitteen", lisäsi. Higgins tutkittuaan mr. d0x:n mekanismi.
Esittääkseen BitB:n mr.d0x loi väärennetyn version online-graafisen suunnittelun alustasta Canvasta. Kun joku napsauttaa kirjautuakseen sisään väärennetylle sivustolle SSO-vaihtoehdolla, verkkosivusto avaa BitB:n luoman kirjautumisikkunan, jossa on väärennetyn SSO-palveluntarjoajan, kuten Googlen, laillinen osoite ja huijata vierailija syöttämään kirjautumistietonsa, jotka ovat sitten lähetettiin hyökkääjille.
Tekniikka on tehnyt vaikutuksen useisiin verkkokehittäjiin. "Oho, se on ilkeää: Browser In The Browser (BITB) Attack, uusi tietojenkalastelutekniikka, joka mahdollistaa tunnistetietojen varastamisen, joita edes verkkoammattilainen ei pysty havaitsemaan", François Zaninotto, verkko- ja mobiilikehitysyhtiö Marmelabin toimitusjohtaja, kirjoitti Twitterissä.
Katso minne olet menossa
Vaikka BitB on vakuuttavampi kuin tavanomaiset väärennetyt kirjautumisikkunat, Higgins jakoi muutamia vinkkejä, joilla ihmiset voivat suojautua.
Ensinnäkin, vaikka BitB SSO -ponnahdusikkuna näyttää lailliselta ponnahdusikkun alta, se ei todellakaan ole sitä. Siksi, jos tartut tämän ponnahdusikkunan osoitepalkkiin ja yrität vetää sitä, se ei siirry pääsivuston ikkunan reunan yli, toisin kuin todellinen ponnahdusikkuna, joka on täysin itsenäinen ja joka voidaan siirtää mihin tahansa osa työpöytää.
Higgins kertoi, että SSO-ikkunan legitimiteetin testaus tällä menetelmällä ei toimisi mobiililaitteella."Tässä [monitekijätodennus] tai salasanattomien todennusvaihtoehtojen käyttö voi olla todella hyödyllistä. Vaikka joutuisit BitB-hyökkäyksen uhriksi, [huijarit] eivät välttämättä pystyisi [käyttämään varastettuja v altuustietojasi] ilman muut MFA-kirjautumisrutiinin osat", ehdotti Higgins.
Internet ei ole kotimme. Se on julkinen tila. Meidän on tarkistettava, missä vierailemme.
Lisäksi, koska kyseessä on väärennetty kirjautumisikkuna, salasanojen hallinta (jos käytät sellaista) ei täytä tunnistetietoja automaattisesti, mikä taas antaa sinun pysähtyä havaitsemaan jotain vialla.
On myös tärkeää muistaa, että vaikka BitB SSO -ponnahdusikkunaa on vaikea havaita, se on silti käynnistettävä haitallisesta sivustosta. Nähdäksesi tällaisen ponnahdusikkunan sinun olisi jo täytynyt olla väärennetyllä verkkosivustolla.
Tästä syystä Adrien Gendre, Vade Securen tekninen ja tuotejohtaja, ehdottaa, että ihmiset katsovat URL-osoitteita joka kerta, kun he napsauttavat linkkiä.
"Samalla tavalla kuin tarkistamme ovelta olevan numeron varmistaaksemme, että päädymme oikeaan hotellihuoneeseen, ihmisten tulisi aina katsoa URL-osoitteita nopeasti verkkosivustoa selatessaan. Internet ei ole kotimme. Se on julkinen tila. Meidän on tarkistettava, missä vierailemme", Gendre korosti.
