Mga Key Takeaway
- Ang isang security researcher ay gumawa ng paraan para gumawa ng napakakumbinsi ngunit pekeng single sign-on login pop-up.
- Ang mga pekeng pop-up ay gumagamit ng mga lehitimong URL upang higit pang lumabas na tunay.
- Ipinapakita ng lansihin na ang mga taong gumagamit lamang ng mga password ay mananakaw ng kanilang mga kredensyal sa madaling panahon, babala sa mga eksperto.
Ang pag-navigate sa web ay nagiging mas nakakalito araw-araw.
Karamihan sa mga website ngayon ay nag-aalok ng maraming opsyon para gumawa ng account. Maaari kang magparehistro sa website, o gamitin ang mekanismo ng single sign-on (SSO) upang mag-log in sa website gamit ang iyong mga umiiral nang account sa mga mapagkakatiwalaang kumpanya tulad ng Google, Facebook, o Apple. Ginamit ito ng isang cybersecurity researcher at gumawa ng bagong mekanismo para nakawin ang iyong mga kredensyal sa pag-log in sa pamamagitan ng paggawa ng halos hindi matukoy na pekeng SSO login window.
"Ang lumalaking katanyagan ng SSO ay nagbibigay ng maraming benepisyo sa [mga tao]," sabi ni Scott Higgins, Direktor ng Engineering sa Dispersive Holdings, Inc sa Lifewire sa pamamagitan ng email. "Gayunpaman, sinasamantala na ngayon ng matatalinong hacker ang rutang ito sa mapanlikhang paraan."
Fake Login
Sa kaugalian, ang mga umaatake ay gumagamit ng mga taktika tulad ng mga pag-atake ng homograph na pinapalitan ang ilan sa mga titik sa orihinal na URL ng mga katulad na hitsura ng mga character upang lumikha ng bago, mahirap makitang mga nakakahamak na URL at pekeng mga pahina sa pag-login.
Gayunpaman, ang diskarteng ito ay kadalasang nagugulo kung maingat na susuriin ng mga tao ang URL. Matagal nang pinapayuhan ng industriya ng cybersecurity ang mga tao na suriin ang URL bar para matiyak na nakalista nito ang tamang address, at may berdeng padlock sa tabi nito, na nagpapahiwatig na secure ang webpage.
"Lahat ng ito sa kalaunan ay nagdulot sa akin ng pag-iisip, posible bang gawing hindi gaanong maaasahan ang payo ng 'Suriin ang URL'? Pagkatapos ng isang linggo ng brainstorming napagpasyahan kong oo ang sagot," isinulat ng hindi kilalang mananaliksik na gumagamit ang pseudonym, mr.d0x.
Ang ginawang pag-atake ni mr.d0x, na pinangalanang browser-in-the-browser (BitB), ay gumagamit ng tatlong mahahalagang building block ng web-HTML, cascading style sheets (CSS), at JavaScript-upang gumawa ng pekeng SSO pop-up window na hindi talaga makikilala sa tunay na bagay.
"Ang pekeng URL bar ay maaaring maglaman ng anumang nais nito, kahit na ang mga mukhang wastong lokasyon. Higit pa rito, ginagawa ng mga pagbabago sa JavaScript na ang pag-hover sa link, o ang pindutan ng pag-login ay mag-pop up din ng isang tila wastong patutunguhan ng URL," idinagdag Higgins matapos suriin si mr. mekanismo ng d0x.
Upang ipakita ang BitB, gumawa si mr.d0x ng pekeng bersyon ng online na graphic design platform, Canva. Kapag may nag-click para mag-log in sa pekeng site gamit ang SSO na opsyon, lalabas ng website ang BitB crafted login window na may lehitimong address ng spoofed SSO provider, gaya ng Google, para linlangin ang bisita sa pagpasok ng kanilang mga kredensyal sa pag-log in, na pagkatapos ay ipinadala sa mga umaatake.
Ang pamamaraan ay humanga sa ilang web developer. "Ooh, ang pangit: Browser In The Browser (BITB) Attack, isang bagong phishing technique na nagbibigay-daan sa pagnanakaw ng mga kredensyal na kahit isang web professional ay hindi ma-detect," isinulat ni François Zaninotto, CEO ng web at mobile development company na Marmelab, sa Twitter.
Tingnan Kung Saan Ka Papunta
Habang mas nakakumbinsi ang BitB kaysa sa mga run-of-the-mill na fake login window, nagbahagi si Higgins ng ilang tip na magagamit ng mga tao para protektahan ang kanilang sarili.
Para sa mga panimula, sa kabila ng hitsura ng BitB SSO pop-up window na parang lehitimong pop-up, hindi talaga. Samakatuwid, kung kukunin mo ang address bar ng pop-up na ito at subukang i-drag ito, hindi ito lilipat sa gilid ng pangunahing window ng website, hindi tulad ng isang tunay na pop-up window na ganap na independyente at maaaring ilipat sa anumang bahagi ng desktop.
Ibinahagi ni Higgins na ang pagsubok sa pagiging lehitimo ng SSO window gamit ang paraang ito ay hindi gagana sa isang mobile device."Dito talaga maaaring makatulong ang [multi-factor authentication] o paggamit ng mga opsyon sa pagpapatotoo na walang password. Kahit na nabiktima ka sa pag-atake ng BitB, [ang mga scammer] ay hindi nangangahulugang magagawang [gamitin ang iyong mga nakaw na kredensyal] nang wala ang iba pang bahagi ng isang MFA login routine, " iminungkahi ni Higgins.
Hindi natin tahanan ang internet. Isa itong pampublikong espasyo. Dapat nating tingnan kung ano ang ating binibisita.
Gayundin, dahil isa itong pekeng window sa pag-log in, hindi awtomatikong pupunuin ng tagapamahala ng password (kung gumagamit ka ng isa) sa mga kredensyal, muli kang bibigyan ng pause upang makakita ng mali.
Mahalaga ring tandaan na habang mahirap makita ang BitB SSO pop-up, dapat pa rin itong ilunsad mula sa isang nakakahamak na site. Upang makakita ng pop-up na tulad nito, kailangan mo nang nasa pekeng website.
Ito ang dahilan kung bakit, pagdating ng buong bilog, si Adrien Gendre, Chief Tech at Product Officer sa Vade Secure, ay nagmumungkahi na ang mga tao ay dapat tumingin sa mga URL sa tuwing magki-click sila sa isang link.
"Sa parehong paraan na tinitingnan natin ang numero sa pinto para matiyak na mapupunta tayo sa tamang kwarto ng hotel, dapat palaging mabilis na tingnan ng mga tao ang mga URL kapag nagba-browse ng website. Hindi natin tahanan ang internet. Ito ay isang pampublikong espasyo. Dapat nating suriin kung ano ang ating binibisita, " diin ni Gendre.
