Негізгі ұсыныстар
- Қауіпсіздік зерттеушісі өте сенімді, бірақ жалған бір рет кіру арқылы кіру қалқымалы терезелерін жасау әдісін ойлап тапты.
- Жалған қалқымалы терезелер шынайы болып көріну үшін заңды URL мекенжайларын пайдаланады.
- Бұл қулық құпия сөздерді жалғыз пайдаланатын адамдардың тіркелгі деректері ерте ме, кеш пе ұрланатынын көрсетеді, деп ескертеді сарапшылар.
Интернетте шарлау күн сайын қиындап барады.
Қазіргі уақытта веб-сайттардың көпшілігі есептік жазба жасаудың бірнеше нұсқасын ұсынады. Сіз веб-сайтта тіркеле аласыз немесе Google, Facebook немесе Apple сияқты беделді компаниялардағы бар тіркелгілеріңізді пайдаланып веб-сайтқа кіру үшін бірыңғай кіру (SSO) механизмін пайдалана аласыз. Киберқауіпсіздік зерттеушісі мұны тиімді пайдаланып, іс жүзінде анықталмайтын жалған SSO кіру терезесін жасау арқылы кіру тіркелгі деректерін ұрлаудың жаңа механизмін ойлап тапты.
"SSO-ның өсіп келе жатқан танымалдылығы [адамдарға] көп артықшылықтар береді", - деді Скотт Хиггинс, Dispersive Holdings, Inc инженерлік бөлімінің директоры Lifewire-ге электрондық пошта арқылы. "Алайда, ақылды хакерлер қазір бұл жолды керемет түрде пайдаланып жатыр."
Жалған кіру
Дәстүрлі түрде шабуылдаушылар жаңа, табу қиын зиянды URL мекенжайлары мен жалған кіру беттерін жасау үшін бастапқы URL мекенжайындағы кейбір әріптерді ұқсас таңбалармен алмастыратын гомографтық шабуылдар сияқты тактиканы қолданады.
Алайда адамдар URL мекенжайын мұқият тексеретін болса, бұл стратегия жиі бұзылады. Киберқауіпсіздік индустриясы адамдарға URL жолағында дұрыс мекенжай тізімі берілгеніне және оның жанында веб-беттің қауіпсіз екенін көрсететін жасыл құлыптың бар екеніне көз жеткізу үшін оны тексеруге көптен кеңес берді.
"Мұның бәрі ақыры мені ойлануға итермеледі: "URL мекенжайын тексеру" кеңесінің сенімділігін төмендетуге болады ма? Бір апталық миға шабуылдан кейін мен жауап иә деп шештім ", - деп жазды. бүркеншік аты, mr.d0x.
Браузерде браузер (BitB) деп аталатын mr.d0x жасалған шабуыл жасанды жасау үшін веб-HTML, каскадты мәнерлер кестелері (CSS) және JavaScript-тің үш негізгі құрылымдық блоктарын пайдаланады. Шынайы нәрседен айырмашылығы жоқ SSO қалқымалы терезесі.
"Жалған URL жолағы қалаған кез келген нәрсені, тіпті жарамды болып көрінетін орындарды қамтуы мүмкін. Оған қоса, JavaScript өзгертулері оны сілтеме немесе кіру түймешігіне апару жарамды болып көрінетін URL мекенжайын да ашатындай етіп жасайды, " деп қосылды. Хиггинс мырзаны тексергеннен кейін. d0x механизмі.
BitB көрсету үшін mr.d0x Canva онлайн графикалық дизайн платформасының жалған нұсқасын жасады. Біреу SSO опциясын пайдаланып жалған сайтқа кіру үшін басқанда, веб-сайт келушіні өздерінің кіру тіркелгі деректерін енгізуге алдау үшін Google сияқты жалған SSO провайдерінің заңды мекенжайы бар BitB жасалған кіру терезесін ашады. содан кейін шабуылдаушыларға жіберілді.
Техника бірнеше веб-әзірлеушілерді таң қалдырды. «Ой, бұл жағымсыз: Браузердегі браузер (BITB) шабуылы, тіпті веб-кәсіпқойы да анықтай алмайтын тіркелгі деректерін ұрлауға мүмкіндік беретін жаңа фишинг әдісі», - деп жазды Франсуа Занинотто, Marmelab веб және мобильді даму компаниясының бас директоры Twitter-де.
Баратын жерге қара
BitB ескірген жалған кіру терезелеріне қарағанда сенімдірек болғанымен, Хиггинс адамдар өздерін қорғау үшін пайдалана алатын бірнеше кеңестермен бөлісті.
Бастау үшін, BitB SSO қалқымалы терезесі заңды қалқымалы терезе сияқты көрінгенімен, ол шын мәнінде олай емес. Сондықтан, егер сіз осы қалқымалы терезенің мекенжай жолағын ұстап алып, оны сүйреуге әрекеттенсеңіз, ол толығымен тәуелсіз және кез келген терезеге жылжытуға болатын нақты қалқымалы терезеге қарағанда, негізгі веб-сайт терезесінің шетінен жылжымайды. жұмыс үстелінің бөлігі.
Хиггинс бұл әдісті пайдаланып SSO терезесінің заңдылығын тексеру мобильді құрылғыда жұмыс істемейтінімен бөлісті.«Бұл жерде [көпфакторлы аутентификация] немесе құпиясөзсіз аутентификация опцияларын пайдалану шынымен пайдалы болуы мүмкін. Егер сіз BitB шабуылының құрбаны болсаңыз да, [алаяқтар] міндетті түрде [ұрланған тіркелгі деректерін пайдалана алмайды]. Сыртқы істер министрлігіне кіру тәртібінің басқа бөліктері, - деп ұсынды Хиггинс.
Интернет біздің үйіміз емес. Ол қоғамдық кеңістік. Біз не баратынымызды тексеруіміз керек.
Сонымен қатар, бұл жалған кіру терезесі болғандықтан, құпия сөз реттеушісі (егер оны пайдаланып жатсаңыз) тіркелгі деректерін автоматты түрде толтырмайды, бұл сізге бірдеңені дұрыс емес екенін анықтау үшін қайтадан үзіліс береді.
Сонымен қатар BitB SSO қалқымалы терезесін анықтау қиын болғанымен, оны әлі де зиянды сайттан іске қосу керек екенін есте ұстаған жөн. Осындай қалқымалы терезені көру үшін жалған веб-сайтта болуыңыз керек еді.
Сондықтан да Vade Secure компаниясының техникалық және өнім жөніндегі бас директоры Адриен Джендре адамдарға сілтемені басқан сайын URL мекенжайларын қарауды ұсынады.
"Қонақүйдің дұрыс бөлмесіне кіргенімізге көз жеткізу үшін есіктегі нөмірді тексеретініміз сияқты, адамдар веб-сайтты шолу кезінде URL мекенжайларын жылдам қарап шығуы керек. Интернет біздің үйіміз емес. Бұл қоғамдық орын. Біз не баратынымызды тексеруіміз керек ", - деп баса айтты Жандре.
