מזונות חשובים
- חוקר אבטחה הגה דרך ליצור חלונות קופצים של כניסה יחידה משכנעים מאוד אך מזויפים.
- החלונות הקופצים המזויפים משתמשים בכתובות URL לגיטימיות כדי להיראות עוד יותר אמיתיים.
- הטריק מוכיח שאנשים המשתמשים בסיסמאות בלבד ייגנבו את האישורים שלהם במוקדם או במאוחר, מזהירים מומחים.
הניווט באינטרנט נעשה מסובך יותר מדי יום.
רוב האתרים בימינו מציעים אפשרויות מרובות ליצירת חשבון.אתה יכול להירשם לאתר, או להשתמש במנגנון כניסה יחידה (SSO) כדי להיכנס לאתר באמצעות החשבונות הקיימים שלך עם חברות מוכרות כמו גוגל, פייסבוק או אפל. חוקר אבטחת סייבר ניצל את זה והגה מנגנון חדשני לגניבת אישורי הכניסה שלך על ידי יצירת חלון כניסה מזויף SSO מזויף כמעט בלתי ניתן לזיהוי.
"הפופולריות הגוברת של SSO מספקת הרבה הטבות ל[אנשים]," אמר סקוט היגינס, מנהל הנדסה בחברת Dispersive Holdings, Inc. ל-Lifewire באימייל. "עם זאת, האקרים חכמים מנצלים כעת את המסלול הזה בצורה גאונית."
התחברות מזויפת
באופן מסורתי, תוקפים השתמשו בטקטיקות כמו התקפות הומוגרפיות שמחליפות חלק מהאותיות בכתובת האתר המקורית בתווים בעלי מראה דומה כדי ליצור כתובות URL זדוניות חדשות שקשה לזהות ודפי כניסה מזויפים.
עם זאת, אסטרטגיה זו מתפרקת לעתים קרובות אם אנשים בודקים היטב את כתובת האתר. תעשיית אבטחת הסייבר המליצה לאנשים לבדוק את סרגל הכתובות כדי לוודא שהוא מפרט את הכתובת הנכונה, ולידו יש מנעול ירוק, שמסמן שדף האינטרנט מאובטח.
"כל זה הוביל אותי בסופו של דבר לחשוב, האם אפשר להפוך את העצה 'בדוק את כתובת האתר' לפחות מהימנה? לאחר שבוע של סיעור מוחות החלטתי שהתשובה היא כן", כתב החוקר האנונימי שמשתמש השם הבדוי, mr.d0x.
מתקפה mr.d0x שנוצרה, בשם דפדפן בדפדפן (BitB), משתמשת בשלושת אבני הבניין החיוניות של ה-Web-HTML, גיליונות סגנונות מדורגים (CSS) ו-JavaScript כדי ליצור זיוף חלון מוקפץ SSO שלא ניתן להבחין בו מהדבר האמיתי.
"סרגל ה-URL המזויף יכול להכיל כל מה שהוא רוצה, אפילו מיקומים תקפים לכאורה. יתר על כן, שינויים ב-JavaScript הופכים את זה כך שרחף על הקישור או כפתור ההתחברות יקפוץ גם יעד של כתובת אתר חוקי לכאורה", הוסיף היגינס לאחר שבדק את מר. המנגנון של d0x.
כדי להדגים את BitB, mr.d0x יצר גרסה מזויפת של פלטפורמת העיצוב הגרפי המקוונת, Canva. כאשר מישהו לוחץ כדי להתחבר לאתר המזויף באמצעות אפשרות SSO, האתר מקפיץ את חלון ההתחברות המעוצב של BitB עם הכתובת הלגיטימית של ספק ה-SSO המזויף, כגון גוגל, כדי להערים על המבקר להזין את אישורי ההתחברות שלו, שהם לאחר מכן נשלח לתוקפים.
הטכניקה הרשימה כמה מפתחי אינטרנט. "אוי זה מגעיל: מתקפת דפדפן בדפדפן (BITB), טכניקת פישינג חדשה המאפשרת גניבת אישורים שאפילו מקצוען אינטרנט לא יכול לזהות", כתב בטוויטר פרנסואה זנינוטו, מנכ"ל חברת פיתוח האינטרנט והמובייל Marmelab.
תראה לאן אתה הולך
בעוד ש-BitB משכנע יותר מחלונות התחברות מזויפים, היגינס שיתף כמה טיפים שאנשים יכולים להשתמש בהם כדי להגן על עצמם.
להתחלה, למרות שהחלון המוקפץ של BitB SSO נראה כמו חלון קופץ לגיטימי, הוא ממש לא. לכן, אם אתה תופס את שורת הכתובת של חלון קופץ זה ותנסה לגרור אותו, הוא לא יעבור מעבר לקצה החלון של האתר הראשי, בניגוד לחלון מוקפץ אמיתי שהוא עצמאי לחלוטין וניתן להזזה לכל חלק משולחן העבודה.
Higgins שיתף שבדיקת הלגיטימיות של חלון SSO בשיטה זו לא תעבוד במכשיר נייד."זה המקום שבו [אימות מרובה גורמים] או שימוש באפשרויות אימות ללא סיסמה באמת יכולים להיות מועילים. גם אם נפלת טרף למתקפה של BitB, [הרמאים] לא בהכרח יוכלו [להשתמש באישורים הגנובים שלך] ללא את החלקים האחרים של שגרת התחברות ל-MFA", הציע Higgins.
האינטרנט הוא לא הבית שלנו. זה מרחב ציבורי. אנחנו חייבים לבדוק מה אנחנו מבקרים.
כמו כן, מכיוון שזהו חלון התחברות מזויף, מנהל הסיסמאות (אם אתה משתמש באחד) לא ימלא אוטומטית את האישורים, שוב גורם לך להשהות כדי לזהות משהו לא בסדר.
חשוב גם לזכור שבעוד שקשה לזהות את החלון המוקפץ של BitB SSO, עדיין יש להפעיל אותו מאתר זדוני. כדי לראות חלון קופץ כזה, כבר היית צריך להיות באתר מזויף.
זו הסיבה, בהגיעו למעגל סגור, אדריאן ג'נדר, מנהל טכנולוגיה ומוצר ראשי ב-Vade Secure, מציע לאנשים להסתכל בכתובות אתרים בכל פעם שהם לוחצים על קישור.
"באופן שבו אנחנו בודקים את המספר על הדלת כדי לוודא שאנחנו מגיעים לחדר המלון הנכון, אנשים צריכים תמיד להסתכל במהירות על כתובות האתרים בעת גלישה באתר. האינטרנט הוא לא הבית שלנו. זה מרחב ציבורי. אנחנו חייבים לבדוק מה אנחנו מבקרים", הדגיש ג'נדרה.
