Sleutel wegneemetes
- 'n Sekuriteitsnavorser het 'n manier bedink om baie oortuigende maar vals enkel-aanmelding-aanmelding-opspringers te skep.
- Die vals opspringers gebruik wettige URL's om verder eg te lyk.
- Die truuk toon dat mense wat alleen wagwoorde gebruik, hul geloofsbriewe vroeër of later gesteel sal word, waarsku kenners.
Om op die web te navigeer word elke dag moeiliker.
Die meeste webwerwe bied deesdae veelvuldige opsies om 'n rekening te skep. Jy kan óf by die webwerf registreer, óf die enkelaanmelding-meganisme (SSO) gebruik om by die webwerf aan te meld met jou bestaande rekeninge by betroubare maatskappye soos Google, Facebook of Apple. 'n Kuberveiligheidsnavorser het hieruit munt geslaan en 'n nuwe meganisme ontwerp om jou aanmeldbewyse te steel deur 'n feitlik onopspoorbare vals SSO-aanmeldvenster te skep.
"Die groeiende gewildheid van SSO bied baie voordele aan [mense]," het Scott Higgins, Direkteur van Ingenieurswese by Dispersive Holdings, Inc. per e-pos aan Lifewire gesê. “Slim kuberkrakers trek egter nou voordeel uit hierdie roete op’n vernuftige manier.”
Valse aanmelding
Tradisioneel het aanvallers taktiek soos homograafaanvalle gebruik wat sommige van die letters in die oorspronklike URL vervang met karakters wat soortgelyk lyk om nuwe, moeilik opspoorbare kwaadwillige URL's en vals aanmeldbladsye te skep.
Hierdie strategie val egter dikwels uitmekaar as mense die URL noukeurig ondersoek. Die kuberveiligheidsbedryf het mense al lank aangeraai om die URL-balk na te gaan om te verseker dat dit die regte adres lys en 'n groen hangslot langsaan het, wat aandui dat die webblad veilig is.
"Al hierdie dinge het my uiteindelik laat dink, is dit moontlik om die 'Gaan die URL'-advies minder betroubaar te maak? Na 'n week van dinkskrum het ek besluit dat die antwoord ja is," het die anonieme navorser geskryf wat dit gebruik die skuilnaam, mnr.d0x.
Die aanval wat mr.d0x geskep is, genaamd blaaier-in-die-blaaier (BitB), gebruik die drie noodsaaklike boublokke van die web-HTML, cascading style sheets (CSS), en JavaScript-om 'n vals te maak SSO-opspringvenster wat in wese nie van die regte ding te onderskei is nie.
"Die vals URL-balk kan enigiets bevat wat dit wil hê, selfs skynbaar geldige liggings. Verder maak JavaScript-wysigings dit so dat as jy op die skakel, of aanmeldknoppie beweeg, ook 'n oënskynlik geldige URL-bestemming sal verskyn," het bygevoeg Higgins nadat hy mnr. d0x se meganisme.
Om BitB te demonstreer, het mr.d0x 'n vals weergawe van die aanlyn grafiese ontwerpplatform, Canva, geskep. Wanneer iemand klik om met die SSO-opsie by die vals webwerf aan te meld, verskyn die webwerf die BitB-gemaakte aanmeldvenster met die wettige adres van die bedrieglike SSO-verskaffer, soos Google, om die besoeker te mislei om hul aanmeldbewyse in te voer, wat is toe aan die aanvallers gestuur.
Die tegniek het verskeie webontwikkelaars beïndruk. "Ooh, dis vieslik: Browser In The Browser (BITB) Attack, 'n nuwe uitvissingstegniek wat dit moontlik maak om geloofsbriewe te steel wat selfs 'n webprofessioneelman nie kan opspoor nie," het François Zaninotto, uitvoerende hoof van die web- en mobiele ontwikkelingsmaatskappy Marmelab, op Twitter geskryf.
Kyk waarheen jy gaan
Terwyl BitB meer oortuigend is as vals-aantekenvensters wat deurlopend is, het Higgins 'n paar wenke gedeel wat mense kan gebruik om hulself te beskerm.
Om mee te begin, ten spyte van die BitB SSO-opspringvenster wat soos 'n wettige opspringvenster lyk, is dit regtig nie. As jy dus die adresbalk van hierdie opspringer gryp en dit probeer sleep, sal dit nie verder as die rand van die hoofwebwerf se venster beweeg nie, anders as 'n regte opspringvenster wat heeltemal onafhanklik is en na enige deel van die lessenaar.
Higgins het gedeel dat die toetsing van die legitimiteit van die SSO-venster met hierdie metode nie op 'n mobiele toestel sou werk nie."Dit is waar [multi-faktor-verifikasie] of die gebruik van wagwoordlose verifikasie-opsies werklik nuttig kan wees. Selfs as jy die prooi van die BitB-aanval was, sou [die swendelaars] nie noodwendig [jou gesteelde geloofsbriewe] kon gebruik] sonder die ander gedeeltes van 'n MFA-aantekenroetine," het Higgins voorgestel.
Die internet is nie ons huis nie. Dit is 'n openbare ruimte. Ons moet kyk wat ons besoek.
Ook, aangesien dit 'n vals aanmeldvenster is, sal die wagwoordbestuurder (as jy een gebruik) nie outomaties die geloofsbriewe invul nie, wat jou weer laat stilstaan om iets verkeerd te sien.
Dit is ook belangrik om te onthou dat hoewel die BitB SSO-opspringer moeilik is om raak te sien, dit steeds vanaf 'n kwaadwillige webwerf geloods moet word. Om 'n opspring soos hierdie te sien, sou jy reeds op 'n vals webwerf moes wees.
Dit is hoekom Adrien Gendre, hooftegnologie- en produkbeampte by Vade Secure, aan die einde van die sirkel voorstel dat mense na URL's moet kyk elke keer as hulle op 'n skakel klik.
"Net soos ons die nommer op die deur nagaan om seker te maak ons beland in die regte hotelkamer, moet mense altyd vinnig na die URL's kyk wanneer hulle deur 'n webwerf blaai. Die internet is nie ons tuiste nie. Dit is 'n openbare ruimte. Ons moet kyk wat ons besoek, " beklemtoon Gendre.
