Key takeaways
- En sikkerhetsforsker har utviklet en måte å lage svært overbevisende, men falske popup-vinduer for enkeltpålogging.
- De falske popup-vinduene bruker legitime nettadresser for å fremstå som ekte.
- Trikset viser at folk som bruker passord alene, vil få legitimasjonen sin stjålet før eller siden, advarer eksperter.
Navigering på nettet blir vanskeligere for hver dag.
De fleste nettsteder i disse dager tilbyr flere alternativer for å opprette en konto. Du kan enten registrere deg på nettstedet, eller bruke mekanismen for enkel pålogging (SSO) for å logge på nettstedet med dine eksisterende kontoer hos anerkjente selskaper som Google, Facebook eller Apple. En cybersikkerhetsforsker har utnyttet dette og utviklet en ny mekanisme for å stjele påloggingsinformasjonen din ved å opprette et tilnærmet uoppdagbart falskt SSO-påloggingsvindu.
"Den økende populariteten til SSO gir mange fordeler til [mennesker", sa Scott Higgins, direktør for ingeniørfag i Dispersive Holdings, Inc. til Lifewire via e-post. "Men smarte hackere utnytter nå denne ruten på en genial måte."
Falsk pålogging
Tradisjonelt har angripere brukt taktikker som homografangrep som erstatter noen av bokstavene i den opprinnelige nettadressen med tegn som ser lignende ut for å lage nye, vanskelig å oppdage ondsinnede nettadresser og falske påloggingssider.
Denne strategien faller imidlertid ofte fra hverandre hvis folk gransker nettadressen nøye. Nettsikkerhetsindustrien har lenge rådet folk til å sjekke URL-linjen for å sikre at den viser riktig adresse, og har en grønn hengelås ved siden av, som signaliserer at nettsiden er sikker.
"Alt dette fikk meg til slutt til å tenke, er det mulig å gjøre 'Sjekk URL'-rådene mindre pålitelige? Etter en uke med idédugnad bestemte jeg meg for at svaret er ja," skrev den anonyme forskeren som bruker pseudonymet, mr.d0x.
Angrepet mr.d0x opprettet, k alt nettleser-i-nettleseren (BitB), bruker de tre essensielle byggesteinene til web-HTML, cascading style sheets (CSS) og JavaScript-for å lage en falsk SSO popup-vindu som i hovedsak ikke kan skilles fra ekte vare.
"Den falske URL-linjen kan inneholde alt den vil, til og med tilsynelatende gyldige plasseringer. I tillegg gjør JavaScript-modifikasjoner det slik at å holde musepekeren på lenken eller påloggingsknappen vil dukke opp en tilsynelatende gyldig URL-destinasjon også," la til Higgins etter å ha undersøkt mr. d0x sin mekanisme.
For å demonstrere BitB opprettet mr.d0x en falsk versjon av den elektroniske grafiske designplattformen, Canva. Når noen klikker for å logge på det falske nettstedet ved å bruke SSO- alternativet, dukker nettstedet opp det BitB-lagde påloggingsvinduet med den legitime adressen til den falske SSO-leverandøren, for eksempel Google, for å lure besøkende til å skrive inn påloggingsinformasjonen, som er deretter sendt til angriperne.
Teknikken har imponert flere webutviklere. "Åh, det er ekkelt: Browser In The Browser (BITB) Attack, en ny phishing-teknikk som gjør det mulig å stjele legitimasjon som selv en nettprofesjonell ikke kan oppdage," skrev François Zaninotto, administrerende direktør i nett- og mobilutviklingsselskapet Marmelab, på Twitter.
Se hvor du skal
Mens BitB er mer overbevisende enn brukbare falske påloggingsvinduer, delte Higgins noen tips som folk kan bruke for å beskytte seg selv.
Til å begynne med, til tross for at BitB SSO-popup-vinduet ser ut som en legitim popup-vindu, er det egentlig ikke det. Derfor, hvis du tar tak i adressefeltet til denne popup-vinduet og prøver å dra den, vil den ikke bevege seg utover kanten av hovednettstedets vindu, i motsetning til et ekte pop-up-vindu som er helt uavhengig og kan flyttes til alle del av skrivebordet.
Higgins delte at å teste legitimiteten til SSO-vinduet med denne metoden ikke ville fungere på en mobil enhet."Det er her [multifaktorautentisering] eller bruk av passordløse autentiserings alternativer virkelig kan være nyttig. Selv om du ble offer for BitB-angrepet, ville ikke [svindlerne] nødvendigvis kunne [bruke den stjålne legitimasjonen din] uten de andre delene av en MFA-påloggingsrutine," foreslo Higgins.
Internett er ikke hjemmet vårt. Det er et offentlig rom. Vi må sjekke hva vi besøker.
Siden det er et falskt påloggingsvindu, vil ikke passordbehandleren (hvis du bruker et) automatisk fylle ut legitimasjonen, noe som igjen gir deg en pause for å oppdage noe g alt.
Det er også viktig å huske at selv om BitB SSO-popup-vinduet er vanskelig å få øye på, må det fortsatt startes fra et ondsinnet nettsted. For å se et popup-vindu som dette, måtte du allerede ha vært på et falskt nettsted.
Det er grunnen til at Adrien Gendre, Chief Tech and Product Officer i Vade Secure, i full sirkel, foreslår at folk bør se på nettadresser hver gang de klikker på en lenke.
På samme måte som vi sjekker nummeret på døren for å sikre at vi havner på riktig hotellrom, bør folk alltid ta en rask titt på nettadressene når de surfer på en nettside. Internett er ikke hjemmet vårt. Det er et offentlig rom. Vi må sjekke hva vi besøker, understreket Gendre.