Key takeaways
- En sikkerhedsforsker har udtænkt en måde at skabe meget overbevisende, men falske pop-ups til login med enkelt login.
- De falske pop op-vinduer bruger legitime webadresser for yderligere at fremstå ægte.
- Tricket viser, at folk, der bruger adgangskoder alene, vil få deres legitimationsoplysninger stjålet før eller siden, advarer eksperter.
Det bliver sværere at navigere på nettet for hver dag.
De fleste websteder tilbyder i disse dage flere muligheder for at oprette en konto. Du kan enten registrere dig på webstedet eller bruge mekanismen for enkelt login (SSO) til at logge ind på webstedet ved hjælp af dine eksisterende konti hos velrenommerede virksomheder som Google, Facebook eller Apple. En cybersikkerhedsforsker har udnyttet dette og udtænkt en ny mekanisme til at stjæle dine loginoplysninger ved at skabe et praktisk t alt uopdageligt falsk SSO-loginvindue.
"Den voksende popularitet af SSO giver en masse fordele for [mennesker]," fort alte Scott Higgins, direktør for ingeniør hos Dispersive Holdings, Inc. til Lifewire via e-mail. "Men kloge hackere udnytter nu denne rute på en genial måde."
Falsk login
Traditionelt har angribere brugt taktikker som homografangreb, der erstatter nogle af bogstaverne i den originale URL med tegn, der ligner hinanden, for at skabe nye, svære at lokalisere ondsindede URL'er og falske login-sider.
Denne strategi falder dog ofte fra hinanden, hvis folk nøje undersøger URL'en. Cybersikkerhedsindustrien har længe rådet folk til at tjekke URL-linjen for at sikre, at den viser den rigtige adresse og har en grøn hængelås ved siden af, som signalerer, at websiden er sikker.
"Alt dette fik mig til sidst til at tænke, er det muligt at gøre 'Check the URL'-rådene mindre pålidelige? Efter en uges brainstorming besluttede jeg, at svaret er ja," skrev den anonyme forsker, der bruger pseudonymet, mr.d0x.
Angrebet mr.d0x oprettede, kaldet browser-in-the-browser (BitB), bruger de tre væsentlige byggeklodser i web-HTML, cascading style sheets (CSS) og JavaScript-til at lave en falsk SSO pop op-vindue, der stort set ikke kan skelnes fra den ægte vare.
"Den falske URL-bjælke kan indeholde alt, hvad den vil, selv tilsyneladende gyldige placeringer. Desuden gør JavaScript-modifikationer det så, at svævning på linket eller login-knappen også vil poppe op en tilsyneladende gyldig URL-destination," tilføjede Higgins efter at have undersøgt mr. d0x's mekanisme.
For at demonstrere BitB skabte mr.d0x en falsk version af den online grafiske designplatform, Canva. Når nogen klikker for at logge ind på det falske websted ved hjælp af SSO-indstillingen, åbner webstedet det BitB-udformede login-vindue med den legitime adresse på den forfalskede SSO-udbyder, såsom Google, for at narre den besøgende til at indtaste deres loginoplysninger, som er derefter sendt til angriberne.
Teknikken har imponeret adskillige webudviklere. "Åh det er grimt: Browser In The Browser (BITB) Attack, en ny phishing-teknik, der gør det muligt at stjæle legitimationsoplysninger, som selv en webprofessionel ikke kan opdage," skrev François Zaninotto, administrerende direktør for web- og mobiludviklingsfirmaet Marmelab, på Twitter.
Se, hvor du skal hen
Mens BitB er mere overbevisende end almindelige falske login-vinduer, delte Higgins et par tips, som folk kan bruge til at beskytte sig selv.
Til at begynde med, selvom BitB SSO-pop-up-vinduet ser ud som en legitim pop-up, er det virkelig ikke det. Derfor, hvis du tager fat i adresselinjen i denne pop-up og forsøger at trække den, vil den ikke bevæge sig ud over kanten af hovedwebstedets vindue, i modsætning til et rigtigt pop-up vindue, som er helt uafhængigt og kan flyttes til ethvert del af skrivebordet.
Higgins delte, at test af SSO-vinduets legitimitet ved hjælp af denne metode ikke ville fungere på en mobilenhed."Det er her [multifaktorgodkendelse] eller brug af adgangskodefri godkendelsesmuligheder virkelig kan være nyttigt. Selv hvis du blev offer for BitB-angrebet, ville [svindlerne] ikke nødvendigvis være i stand til at [bruge dine stjålne legitimationsoplysninger] uden de andre dele af en MFA-loginrutine," foreslog Higgins.
Internettet er ikke vores hjem. Det er et offentligt rum. Vi skal tjekke, hvad vi besøger.
Også, da det er et falsk login-vindue, vil adgangskodeadministratoren (hvis du bruger et) ikke automatisk udfylde legitimationsoplysningerne, hvilket igen giver dig en pause for at opdage noget g alt.
Det er også vigtigt at huske, at selvom BitB SSO-pop-op-vinduet er svært at få øje på, skal det stadig startes fra et ondsindet websted. For at se en pop-up som denne, ville du allerede have været på et falsk websted.
Derfor foreslår Adrien Gendre, Chief Tech and Product Officer hos Vade Secure, at folk skal se på webadresser, hver gang de klikker på et link..
"På samme måde som vi tjekker nummeret på døren for at sikre, at vi ender på det rigtige hotelværelse, bør folk altid have et hurtigt kig på webadresserne, når de surfer på en hjemmeside. Internettet er ikke vores hjem. Det er et offentligt rum. Vi skal tjekke, hvad vi besøger, " understregede Gendre.
