Folje kryesore
- Një studiues sigurie ka shpikur një mënyrë për të krijuar dritare kërcyese shumë bindëse, por të rreme për identifikimin e vetëm.
- Planet kërcyese të rreme përdorin URL të ligjshme për t'u dukur më të vërteta.
- Truku tregon se njerëzve që përdorin vetëm fjalëkalime do t'u vidhen kredencialet herët a vonë, paralajmërojnë ekspertët.
Lundimi në ueb po bëhet më i ndërlikuar çdo ditë.
Shumica e faqeve të internetit këto ditë ofrojnë opsione të shumta për të krijuar një llogari. Ju ose mund të regjistroheni në faqen e internetit, ose të përdorni mekanizmin e hyrjes së vetme (SSO) për t'u identifikuar në faqen e internetit duke përdorur llogaritë tuaja ekzistuese me kompani me reputacion si Google, Facebook ose Apple. Një studiues i sigurisë kibernetike ka përfituar nga kjo dhe ka shpikur një mekanizëm të ri për të vjedhur kredencialet tuaja të hyrjes duke krijuar një dritare të rreme të hyrjes SSO praktikisht të pazbulueshme.
"Popullariteti në rritje i SSO ofron shumë përfitime për [njerëzit]", tha Scott Higgins, Drejtor i Inxhinierisë në Dispersive Holdings, Inc për Lifewire përmes emailit. "Megjithatë, hakerat e zgjuar tani po përfitojnë nga kjo rrugë në një mënyrë të zgjuar."
Hyrja e rreme
Tradicionalisht, sulmuesit kanë përdorur taktika si sulmet homografike që zëvendësojnë disa nga shkronjat në URL-në origjinale me karaktere me pamje të ngjashme për të krijuar URL të reja keqdashëse dhe faqe të rreme identifikimi të vështirë për t'u zbuluar.
Megjithatë, kjo strategji shpesh bie nëse njerëzit shqyrtojnë me kujdes URL-në. Industria e sigurisë kibernetike ka këshilluar prej kohësh njerëzit që të kontrollojnë shiritin e URL-së për t'u siguruar që ai liston adresën e duhur dhe ka një dry të gjelbër pranë tij, i cili sinjalizon se faqja e internetit është e sigurt.
"E gjithë kjo më çoi përfundimisht të mendoj, a është e mundur që këshilla "Kontrollo URL-në" më pak të besueshme? Pas një jave idesh vendosa që përgjigja është po," shkroi studiuesi anonim që përdor pseudonimi, mr.d0x.
Sulmi mr.d0x i krijuar, i quajtur shfletuesi-në-shfletues (BitB), përdor tre blloqet thelbësore të ndërtimit të web-HTML, fletët e stilit kaskadë (CSS) dhe JavaScript-për të krijuar një të rreme Dritarja kërcyese SSO që në thelb është e padallueshme nga e vërteta.
"Shiri i URL-ve të rreme mund të përmbajë çdo gjë që dëshiron, madje edhe vendndodhje në dukje të vlefshme. Për më tepër, modifikimet e JavaScript e bëjnë atë në mënyrë që qëndrimi pezull mbi lidhjen ose butonin e hyrjes do të shfaqte gjithashtu një destinacion URL në dukje të vlefshëm," shtoi Higgins pas ekzaminimit të z. mekanizmi i d0x.
Për të demonstruar BitB, mr.d0x krijoi një version të rremë të platformës online të dizajnit grafik, Canva. Kur dikush klikon për t'u identifikuar në faqen e rreme duke përdorur opsionin SSO, faqja e internetit hap dritaren e identifikimit të krijuar nga BitB me adresën legjitime të ofruesit të mashtruar SSO, siç është Google, për të mashtruar vizitorin për të futur kredencialet e tyre të hyrjes, të cilat janë pastaj u dërguan sulmuesve.
Teknika u ka bërë përshtypje disa zhvilluesve të uebit. "Oh kjo është e keqe: Sulmi i shfletuesit në shfletuesin (BITB), një teknikë e re phishing që lejon vjedhjen e kredencialeve që as një profesionist në internet nuk mund t'i zbulojë," shkroi në Twitter François Zaninotto, CEO i kompanisë së zhvillimit të uebit dhe celularit Marmelab..
Shiko ku po shkon
Ndërsa BitB është më bindës se sa dritaret e rreme të hyrjes, Higgins ndau disa këshilla që njerëzit mund t'i përdorin për të mbrojtur veten.
Për fillestarët, pavarësisht se dritarja kërcyese BitB SSO duket si një dritare kërcyese legjitime, në të vërtetë nuk është. Prandaj, nëse kapni shiritin e adresave të kësaj dritareje kërcyese dhe përpiqeni ta tërhiqni atë, ai nuk do të lëvizë përtej skajit të dritares kryesore të faqes së internetit, ndryshe nga një dritare e vërtetë pop-up e cila është plotësisht e pavarur dhe mund të zhvendoset në çdo pjesë e desktopit.
Higgins tha se testimi i legjitimitetit të dritares SSO duke përdorur këtë metodë nuk do të funksiononte në një pajisje celulare."Kjo është vendi ku [autentifikimi me shumë faktorë] ose përdorimi i opsioneve të vërtetimit pa fjalëkalim mund të jetë vërtet i dobishëm. Edhe nëse do të ishit pre e sulmit BitB, [mashtruesit] nuk do të ishin domosdoshmërisht në gjendje të [përdornin kredencialet tuaja të vjedhura] pa pjesët e tjera të një rutine të hyrjes në MPJ, " sugjeroi Higgins.
Interneti nuk është shtëpia jonë. Është një hapësirë publike. Ne duhet të kontrollojmë atë që po vizitojmë.
Gjithashtu, duke qenë se është një dritare e rreme identifikimi, menaxheri i fjalëkalimeve (nëse jeni duke përdorur një të tillë) nuk do t'i plotësojë automatikisht kredencialet, duke ju dhënë përsëri pauzë për të parë diçka që nuk shkon.
Është gjithashtu e rëndësishme të mbani mend se ndonëse dritarja kërcyese BitB SSO është e vështirë të dallohet, ajo duhet të lansohet përsëri nga një sajt me qëllim të keq. Për të parë një dritare kërcyese si kjo, do të duhej të ishe tashmë në një faqe interneti të rreme.
Kjo është arsyeja pse, duke ardhur rrethi i plotë, Adrien Gendre, Shefi Teknik dhe Zyrtar i Produkteve në Vade Secure, sugjeron që njerëzit duhet të shikojnë URL-të sa herë që klikojnë një lidhje.
"Në të njëjtën mënyrë që kontrollojmë numrin në derë për t'u siguruar që përfundojmë në dhomën e duhur të hotelit, njerëzit duhet të kenë gjithmonë një vështrim të shpejtë në URL-të kur shfletojnë një faqe interneti. Interneti nuk është shtëpia jonë. Është një hapësirë publike. Ne duhet të kontrollojmë se çfarë po vizitojmë, "theksoi Gendre.
