موارد مهم
- یک محقق امنیتی راهی ابداع کرده است تا پنجرههای بازشوی بسیار متقاعدکننده اما جعلی برای ورود به سیستم ایجاد کند.
- پاپآپهای جعلی از نشانیهای اینترنتی قانونی استفاده میکنند تا بیشتر واقعی به نظر برسند.
- کارشناسان هشدار می دهند این ترفند نشان می دهد که افرادی که به تنهایی از رمزهای عبور استفاده می کنند دیر یا زود اعتبار آنها به سرقت می رود.
پیمایش در وب هر روز پیچیده تر می شود.
این روزها اکثر وب سایت ها گزینه های متعددی را برای ایجاد یک حساب ارائه می دهند.میتوانید در وبسایت ثبتنام کنید یا از مکانیسم ثبت نام واحد (SSO) برای ورود به وبسایت با استفاده از حسابهای موجود خود در شرکتهای معتبر مانند Google، Facebook یا Apple استفاده کنید. یک محقق امنیت سایبری از این موضوع استفاده کرده و مکانیزم جدیدی را برای سرقت اعتبار ورود شما با ایجاد یک پنجره ورود به سیستم SSO تقلبی غیرقابل شناسایی ابداع کرده است.
اسکات هیگینز، مدیر مهندسی در Dispersive Holdings، Inc از طریق ایمیل به Lifewire گفت: «محبوبیت رو به رشد SSO مزایای زیادی برای [مردم] فراهم میکند. با این حال، هکرهای باهوش اکنون به روشی هوشمندانه از این مسیر استفاده میکنند.»
ورود جعلی
به طور سنتی، مهاجمان از تاکتیکهایی مانند حملات homograph استفاده میکنند که برخی از حروف موجود در URL اصلی را با کاراکترهای مشابه جایگزین میکند تا URLهای مخرب جدید و غیرقابل تشخیص و صفحات ورود جعلی ایجاد کنند.
با این حال، اگر مردم URL را به دقت بررسی کنند، این استراتژی اغلب از بین می رود. صنعت امنیت سایبری مدتهاست که به مردم توصیه میکند نوار URL را بررسی کنند تا مطمئن شوند آدرس درست را فهرست میکند و یک قفل سبز در کنار آن وجود دارد که نشاندهنده امن بودن صفحه وب است.
"همه اینها در نهایت باعث شد به این فکر کنم که آیا می توان توصیه "بررسی URL" را کمتر قابل اعتماد کرد؟ پس از یک هفته فکر کردن به این نتیجه رسیدم که پاسخ مثبت است." نام مستعار mr.d0x.
حمله mr.d0x ایجاد شده با نام مرورگر در مرورگر (BitB) از سه بلوک اصلی ساختاری web-HTML، شیوه نامه های آبشاری (CSS) و جاوا اسکریپت برای ساخت یک جعلی استفاده می کند. پنجره پاپ آپ SSO که اساساً از چیز واقعی قابل تشخیص نیست.
"نوار URL جعلی می تواند حاوی هر چیزی باشد که می خواهد، حتی مکان های به ظاهر معتبر. علاوه بر این، اصلاحات جاوا اسکریپت باعث می شود تا با نگه داشتن ماوس روی پیوند، یا دکمه ورود، یک آدرس URL به ظاهر معتبر نیز ظاهر شود." هیگینز پس از معاینه آقای. مکانیسم d0x.
برای نشان دادن BitB، mr.d0x یک نسخه جعلی از پلتفرم طراحی گرافیک آنلاین Canva ایجاد کرد. هنگامی که شخصی برای ورود به سایت جعلی با استفاده از گزینه SSO کلیک می کند، وب سایت پنجره ورود دستکاری شده BitB را با آدرس قانونی ارائه دهنده SSO جعلی، مانند Google، باز می کند تا بازدیدکننده را فریب دهد تا اعتبار ورود خود را وارد کند. سپس برای مهاجمان ارسال شد.
این تکنیک چندین توسعه دهنده وب را تحت تأثیر قرار داده است. فرانسوا زانینوتو، مدیر عامل شرکت توسعه وب و موبایل Marmelab، در توییتر نوشت: "اوه این بد است: حمله مرورگر در مرورگر (BITB)، یک تکنیک جدید فیشینگ که اجازه سرقت اطلاعاتی را می دهد که حتی یک متخصص وب نیز نمی تواند آنها را تشخیص دهد."
ببین کجا می روی
در حالی که BitB از ویندوزهای ورود جعلی معمولی قانع کننده تر است، هیگینز چند نکته را به اشتراک گذاشت که مردم می توانند برای محافظت از خود از آنها استفاده کنند.
برای شروع، علیرغم اینکه پنجره پاپ آپ BitB SSO مانند یک پاپ آپ قانونی به نظر می رسد، واقعاً اینطور نیست. بنابراین، اگر نوار آدرس این پاپ آپ را بگیرید و سعی کنید آن را بکشید، برخلاف یک پنجره پاپ آپ واقعی که کاملا مستقل است و می توان آن را به هر صفحه دیگری منتقل کرد، از لبه پنجره اصلی وب سایت فراتر نمی رود. بخشی از دسکتاپ.
هیگینز به اشتراک گذاشت که آزمایش مشروعیت پنجره SSO با استفاده از این روش در دستگاه تلفن همراه کار نمی کند."این جایی است که [احراز هویت چند عاملی] یا استفاده از گزینههای احراز هویت بدون رمز عبور میتواند واقعا مفید باشد. حتی اگر قربانی حمله BitB شده باشید، [کلاهبرداران] لزوما نمیتوانند [از اعتبارنامههای دزدیده شده شما] بدون استفاده از آن استفاده کنند. هیگینز پیشنهاد کرد که بخشهای دیگر یک روال ورود به MFA.
اینترنت خانه ما نیست. یک فضای عمومی است. ما باید آنچه را که بازدید می کنیم بررسی کنیم.
همچنین، از آنجایی که یک پنجره ورود به سیستم جعلی است، مدیر رمز عبور (اگر از آن استفاده می کنید) به طور خودکار اعتبارنامه ها را پر نمی کند و دوباره به شما مکث می کند تا مشکلی را پیدا کنید.
همچنین مهم است به خاطر داشته باشید که اگرچه تشخیص پاپ آپ BitB SSO دشوار است، اما همچنان باید از یک سایت مخرب راه اندازی شود. برای دیدن یک پنجره بازشو مانند این، باید قبلاً در یک وب سایت جعلی حضور داشته باشید.
به همین دلیل است که آدرین ژاندر، مدیر ارشد فناوری و محصول در Vade Secure، به این دلیل است که به مردم پیشنهاد می کند هر بار که روی پیوندی کلیک می کنند، URL ها را نگاه کنند.
همان طور که شماره روی در را بررسی می کنیم تا مطمئن شویم که در اتاق هتل مناسب قرار می گیریم، مردم همیشه باید هنگام مرور یک وب سایت نگاهی سریع به URL ها داشته باشند. اینترنت خانه ما نیست. ژاندر تاکید کرد: این یک فضای عمومی است. ما باید بررسی کنیم که از چه چیزی بازدید می کنیم.
