მთავარი წაღებები
- უსაფრთხოების მკვლევარმა გამოიგონა გზა, რათა შექმნათ ძალიან დამაჯერებელი, მაგრამ ყალბი ერთი შესვლის ამომხტარი ფანჯარა.
- ყალბი ამომხტარი ფანჯრები იყენებს ლეგიტიმურ URL-ებს, რათა შემდგომი გამოჩნდეს ნამდვილი.
- ხრიკი აჩვენებს, რომ ადამიანებს, რომლებიც მარტო პაროლს იყენებენ, ადრე თუ გვიან, მათი რწმუნებათა სიგელები მოიპარებათ, გვაფრთხილებენ ექსპერტები.
ვებში ნავიგაცია დღითიდღე უფრო რთული ხდება.
დღეს ვებსაიტების უმეტესობა გთავაზობთ რამდენიმე ვარიანტს ანგარიშის შესაქმნელად.თქვენ შეგიძლიათ დარეგისტრირდეთ ვებსაიტზე, ან გამოიყენოთ ერთიანი შესვლის (SSO) მექანიზმი, რათა შეხვიდეთ ვებსაიტზე თქვენი არსებული ანგარიშების გამოყენებით ცნობილ კომპანიებთან, როგორიცაა Google, Facebook ან Apple. კიბერუსაფრთხოების მკვლევარმა გამოიყენა ეს და შეიმუშავა ახალი მექანიზმი, რათა მოიპაროს თქვენი შესვლის სერთიფიკატები, შექმნით პრაქტიკულად შეუმჩნეველი ყალბი SSO შესვლის ფანჯრის შექმნით.
"SSO-ს მზარდი პოპულარობა უამრავ სარგებელს აძლევს [ადამიანებს]", განუცხადა სკოტ ჰიგინსმა, Dispersive Holdings, Inc-ის ინჟინერიის დირექტორმა Lifewire-ს ელექტრონული ფოსტით. „თუმცა, ჭკვიანი ჰაკერები ახლა გენიალური გზით სარგებლობენ ამ მარშრუტით.“
ყალბი შესვლა
ტრადიციულად, თავდამსხმელები იყენებდნენ ტაქტიკას, როგორიცაა ჰომოგრაფიული თავდასხმები, რომლებიც ცვლის თავდაპირველ URL-ის ზოგიერთ ასოს მსგავსი სიმბოლოებით, რათა შექმნან ახალი, ძნელად შესამჩნევი მავნე URL-ები და ყალბი შესვლის გვერდები.
თუმცა, ეს სტრატეგია ხშირად იშლება, თუ ხალხი ყურადღებით ამოწმებს URL-ს. კიბერუსაფრთხოების ინდუსტრია დიდი ხანია ურჩევს ხალხს შეამოწმონ URL ზოლი, რათა დარწმუნდნენ, რომ მასში მითითებულია სწორი მისამართი და აქვს მწვანე ბოქლომი მის გვერდით, რაც მიანიშნებს, რომ ვებგვერდი დაცულია.
"საბოლოოდ ამ ყველაფერმა დამაფიქრა, შესაძლებელია თუ არა "გადაამოწმეთ URL" რჩევა ნაკლებად სანდო? ერთკვირიანი გონების შტორმის შემდეგ გადავწყვიტე, რომ პასუხი არის დიახ," წერს ანონიმური მკვლევარი, რომელიც იყენებს ფსევდონიმი, mr.d0x.
შეტევა mr.d0x შექმნილი, სახელად ბრაუზერი-ბრაუზერში (BitB), იყენებს ვებ-HTML-ის, კასკადური სტილის ფურცლების (CSS) და JavaScript-ის სამ ძირითად სამშენებლო ბლოკს ყალბის შესაქმნელად. SSO ამომხტარი ფანჯარა, რომელიც არსებითად არ განსხვავდება რეალურისაგან.
"ყალბი URL-ის ზოლი შეიძლება შეიცავდეს ყველაფერს, რაც მას სურს, თუნდაც ერთი შეხედვით მოქმედ მდებარეობებს. გარდა ამისა, JavaScript-ის მოდიფიკაციები ხდის მას ისე, რომ ბმულზე ან შესვლის ღილაკზე დაჭერით გამოჩნდება ერთი შეხედვით მოქმედი URL-ის დანიშნულებაც," დასძინა. ჰიგინსი გასინჯვის შემდეგ mr. d0x-ის მექანიზმი.
BitB-ის დემონსტრირებისთვის, mr.d0x-მა შექმნა ონლაინ გრაფიკული დიზაინის პლატფორმის, Canva-ს ყალბი ვერსია. როდესაც ვინმე დააჭერს ყალბ საიტზე შესვლას SSO პარამეტრის გამოყენებით, ვებსაიტი იხსნება BitB შემუშავებული შესვლის ფანჯარაში გაყალბებული SSO პროვაიდერის ლეგიტიმური მისამართით, როგორიცაა Google, რათა მოატყუოს ვიზიტორი და შეიყვანოს მისი ავტორიზაციის მონაცემები. შემდეგ გაუგზავნეს თავდამსხმელებს.
ტექნიკამ შთაბეჭდილება მოახდინა რამდენიმე ვებ დეველოპერზე. "ოჰ, ეს საზიზღარია: Browser In The Browser (BITB) Attack, ახალი ფიშინგის ტექნიკა, რომელიც საშუალებას გაძლევთ მოიპაროთ რწმუნებათა სიგელები, რომლებსაც ვებ პროფესიონალიც კი ვერ აღმოაჩენს", - წერს ფრანსუა ზანინოტო, ვებ და მობილური დეველოპერული კომპანიის Marmelab-ის აღმასრულებელი დირექტორი Twitter-ზე.
ნახე სად მიდიხარ
მიუხედავად იმისა, რომ BitB უფრო დამაჯერებელია, ვიდრე გაშვებული ყალბი შესვლის ფანჯრები, ჰიგინსმა გააზიარა რამდენიმე რჩევა, რომლებიც ადამიანებს შეუძლიათ გამოიყენონ საკუთარი თავის დასაცავად.
დაწყებისთვის, მიუხედავად იმისა, რომ BitB SSO ამომხტარი ფანჯარა ჰგავს ლეგიტიმურ ამომხტარ ფანჯარას, ის ნამდვილად არ არის. ამიტომ, თუ აიღებთ ამ ამომხტარი ფანჯრის მისამართის ზოლს და ცდილობთ მის გადატანას, ის არ გადავა მთავარი ვებსაიტის ფანჯრის კიდეზე, განსხვავებით რეალური ამომხტარი ფანჯრისგან, რომელიც სრულიად დამოუკიდებელია და მისი გადატანა შესაძლებელია ნებისმიერზე. დესკტოპის ნაწილი.
ჰიგინსმა გააზიარა, რომ SSO ფანჯრის ლეგიტიმურობის ტესტირება ამ მეთოდით არ იმუშავებს მობილურ მოწყობილობაზე."ეს ის ადგილია, სადაც [მრავალფაქტორიანი ავთენტიფიკაცია] ან პაროლის გარეშე ავთენტიფიკაციის პარამეტრების გამოყენება ნამდვილად შეიძლება სასარგებლო იყოს. მაშინაც კი, თუ თქვენ გახდით BitB თავდასხმის მსხვერპლი, [თაღლითები] აუცილებლად ვერ შეძლებდნენ [გამოიყენონ თქვენი მოპარული რწმუნებათა სიგელები] გარეშე. საგარეო საქმეთა სამინისტროს შესვლის რუტინის სხვა ნაწილები,”- შესთავაზა ჰიგინსმა.
ინტერნეტი ჩვენი სახლი არ არის. ეს არის საჯარო სივრცე. ჩვენ უნდა შევამოწმოთ რას ვსტუმრობთ.
ასევე, რადგან ეს არის ყალბი შესვლის ფანჯარა, პაროლის მენეჯერი (თუ თქვენ იყენებთ მას) ავტომატურად არ შეავსებს რწმუნებათა სიგელებს და კვლავ გაძლევს პაუზას, რომ შეამჩნიოთ რაიმე არასწორი.
ასევე მნიშვნელოვანია გვახსოვდეს, რომ მიუხედავად იმისა, რომ BitB SSO pop-up ძნელი შესამჩნევია, ის მაინც უნდა იყოს გაშვებული მავნე საიტიდან. მსგავსი ამომხტარი ფანჯრის სანახავად, თქვენ უკვე მოგიწევდათ ყალბ ვებსაიტზე ყოფნა.
არის მიზეზი, რომ სრულ წრეში, ადრიენ ჟანდრი, ტექნიკური და პროდუქტის მთავარი ოფიცერი Vade Secure-ში, გვთავაზობს ადამიანებს ყოველ ჯერზე, როცა ბმულზე დააწკაპუნებენ, უნდა ნახონ URL-ები.
ისევე, როგორც ჩვენ ვამოწმებთ ნომერს კარზე, რათა დავრწმუნდეთ, რომ სასტუმროს სწორ ნომერში აღმოვჩნდებით, ადამიანებმა ყოველთვის უნდა დაათვალიერონ URL-ები ვებსაიტის დათვალიერებისას. ინტერნეტი არ არის ჩვენი სახლი. ეს არის საჯარო სივრცე. ჩვენ უნდა შევამოწმოთ რას ვსტუმრობთ“, - ხაზგასმით აღნიშნა ჟანდრმა.
