Key Takeaway
- Seorang penyelidik keselamatan telah mencipta cara untuk mencipta pop timbul log masuk log masuk tunggal yang sangat meyakinkan tetapi palsu.
- Tetingkap timbul palsu menggunakan URL yang sah untuk terus kelihatan tulen.
- Helah ini menunjukkan bahawa orang yang menggunakan kata laluan sahaja akan mempunyai kelayakan mereka dicuri lambat laun, beri amaran kepada pakar.
Menavigasi web semakin rumit setiap hari.
Kebanyakan tapak web hari ini menawarkan berbilang pilihan untuk membuat akaun. Anda boleh sama ada mendaftar dengan tapak web, atau menggunakan mekanisme daftar masuk tunggal (SSO) untuk log masuk ke tapak web menggunakan akaun sedia ada anda dengan syarikat bereputasi seperti Google, Facebook atau Apple. Seorang penyelidik keselamatan siber telah memanfaatkan perkara ini dan mencipta mekanisme baru untuk mencuri bukti kelayakan log masuk anda dengan mencipta tetingkap log masuk SSO palsu yang hampir tidak dapat dikesan.
"Kepopularan SSO yang semakin meningkat memberikan banyak faedah kepada [orang]," Scott Higgins, Pengarah Kejuruteraan di Dispersive Holdings, Inc memberitahu Lifewire melalui e-mel. "Namun, penggodam yang bijak kini memanfaatkan laluan ini dengan cara yang bijak."
Log Masuk Palsu
Secara tradisinya, penyerang telah menggunakan taktik seperti serangan homograf yang menggantikan beberapa huruf dalam URL asal dengan aksara yang kelihatan serupa untuk mencipta URL berniat jahat baharu yang sukar dikesan dan halaman log masuk palsu.
Walau bagaimanapun, strategi ini sering gagal jika orang ramai meneliti URL dengan teliti. Industri keselamatan siber telah lama menasihatkan orang ramai supaya menyemak bar URL untuk memastikan ia menyenaraikan alamat yang betul dan mempunyai gembok hijau di sebelahnya, yang menandakan bahawa halaman web itu selamat.
"Semua ini akhirnya membuatkan saya berfikir, adakah mungkin untuk membuat nasihat 'Semak URL' kurang dipercayai? Selepas seminggu sumbang saran saya memutuskan bahawa jawapannya adalah ya," tulis penyelidik tanpa nama yang menggunakan nama samaran, mr.d0x.
Serangan yang dibuat oleh mr.d0x, dinamakan browser-in-the-browser (BitB), menggunakan tiga blok binaan penting web-HTML, cascading style sheet (CSS) dan JavaScript-untuk mencipta palsu Tetingkap timbul SSO yang pada asasnya tidak dapat dibezakan daripada yang sebenar.
"Bar URL palsu boleh mengandungi apa sahaja yang dikehendakinya, malah lokasi yang kelihatan sah. Tambahan pula, pengubahsuaian JavaScript menjadikannya supaya menuding pada pautan atau butang log masuk akan muncul destinasi URL yang kelihatan sah juga," tambah Higgins selepas memeriksa mr. mekanisme d0x.
Untuk menunjukkan BitB, mr.d0x mencipta versi palsu platform reka bentuk grafik dalam talian, Canva. Apabila seseorang mengklik untuk melog masuk ke tapak palsu menggunakan pilihan SSO, tapak web tersebut memaparkan tetingkap log masuk buatan BitB dengan alamat sah pembekal SSO yang ditipu, seperti Google, untuk menipu pelawat supaya memasukkan bukti kelayakan log masuk mereka, iaitu kemudian dihantar kepada penyerang.
Teknik ini telah menarik perhatian beberapa pembangun web. "Ooh itu jahat: Browser In The Browser (BITB) Attack, teknik pancingan data baharu yang membenarkan mencuri bukti kelayakan yang tidak dapat dikesan oleh profesional web pun," François Zaninotto, Ketua Pegawai Eksekutif syarikat pembangunan web dan mudah alih Marmelab, menulis di Twitter.
Lihat Ke Mana Anda Akan Pergi
Walaupun BitB lebih meyakinkan daripada tetingkap log masuk palsu yang terkenal, Higgins berkongsi beberapa petua yang boleh digunakan oleh orang ramai untuk melindungi diri mereka.
Sebagai permulaan, walaupun tetingkap timbul BitB SSO kelihatan seperti pop timbul yang sah, ia sebenarnya tidak. Oleh itu, jika anda mengambil bar alamat pop timbul ini dan cuba menyeretnya, ia tidak akan bergerak melepasi tepi tetingkap tapak web utama, tidak seperti tetingkap timbul sebenar yang bebas sepenuhnya dan boleh dialihkan ke mana-mana sebahagian daripada desktop.
Higgins berkongsi bahawa menguji kesahihan tetingkap SSO menggunakan kaedah ini tidak akan berfungsi pada peranti mudah alih."Di sinilah [pengesahan berbilang faktor] atau penggunaan pilihan pengesahan tanpa kata laluan benar-benar boleh membantu. Walaupun anda telah menjadi mangsa serangan BitB, [penipu] tidak semestinya dapat [menggunakan kelayakan yang dicuri anda] tanpa bahagian lain rutin log masuk MFA, " cadang Higgins.
Internet bukan rumah kami. Ia adalah ruang awam. Kita mesti menyemak apa yang kita lawati.
Selain itu, kerana ia adalah tetingkap log masuk palsu, pengurus kata laluan (jika anda menggunakannya) tidak akan mengisi bukti kelayakan secara automatik, sekali lagi memberi anda jeda untuk melihat sesuatu yang tidak kena.
Ia juga penting untuk diingat bahawa walaupun tetingkap timbul SSO BitB sukar dikesan, ia masih mesti dilancarkan daripada tapak berniat jahat. Untuk melihat pop timbul seperti ini, anda sudah semestinya berada di tapak web palsu.
Inilah sebabnya, bulatan penuh, Adrien Gendre, Ketua Pegawai Teknologi dan Produk di Vade Secure, mencadangkan orang ramai perlu melihat URL setiap kali mereka mengklik pautan.
"Dengan cara yang sama kita menyemak nombor di pintu untuk memastikan kita berada di bilik hotel yang betul, orang ramai harus sentiasa melihat dengan pantas URL semasa menyemak imbas tapak web. Internet bukan rumah kita. Ia adalah ruang awam. Kita mesti menyemak apa yang kita lawati, " tegas Gendre.