Belangrijkste afhaalrestaurants
- Een beveiligingsonderzoeker heeft een manier bedacht om zeer overtuigende, maar nep-pop-ups met eenmalige aanmelding te maken.
- De nep-pop-ups gebruiken legitieme URL's om echt te lijken.
- De truc laat zien dat mensen die alleen wachtwoorden gebruiken, vroeg of laat hun inloggegevens zullen stelen, waarschuwen experts.
Navigeren op het web wordt elke dag lastiger.
De meeste websites bieden tegenwoordig meerdere opties om een account aan te maken. U kunt zich registreren bij de website of het mechanisme voor eenmalige aanmelding (SSO) gebruiken om u aan te melden bij de website met uw bestaande accounts bij gerenommeerde bedrijven zoals Google, Facebook of Apple. Een cybersecurity-onderzoeker heeft hiervan geprofiteerd en een nieuw mechanisme bedacht om uw inloggegevens te stelen door een vrijwel niet-detecteerbaar nep-SSO-inlogvenster te creëren.
"De groeiende populariteit van SSO biedt [mensen] veel voordelen", vertelde Scott Higgins, Director of Engineering bij Dispersive Holdings, Inc. aan Lifewire via e-mail. "Slimme hackers maken nu echter op ingenieuze wijze gebruik van deze route."
Fake login
Traditioneel hebben aanvallers tactieken gebruikt, zoals homograafaanvallen, waarbij sommige letters in de oorspronkelijke URL worden vervangen door op elkaar lijkende tekens om nieuwe, moeilijk te herkennen kwaadaardige URL's en valse inlogpagina's te creëren.
Deze strategie v alt echter vaak uit elkaar als mensen de URL zorgvuldig onderzoeken. De cyberbeveiligingsindustrie adviseert mensen al lang om de URL-balk te controleren om er zeker van te zijn dat deze het juiste adres vermeldt, en er staat een groen hangslot naast, wat aangeeft dat de webpagina veilig is.
"Dit alles zette me uiteindelijk aan het denken, is het mogelijk om het 'Check the URL'-advies minder betrouwbaar te maken? Na een week brainstormen besloot ik dat het antwoord ja is", schreef de anonieme onderzoeker die het pseudoniem, mr.d0x.
De aanval die mr.d0x heeft gemaakt, genaamd browser-in-the-browser (BitB), gebruikt de drie essentiële bouwstenen van web-HTML, cascading style sheets (CSS) en JavaScript om een nep te maken SSO-pop-upvenster dat in wezen niet van echt te onderscheiden is.
"De nep-URL-balk kan alles bevatten wat het wil, zelfs schijnbaar geldige locaties. Bovendien zorgen JavaScript-aanpassingen ervoor dat de muisaanwijzer op de link of de inlogknop ook een schijnbaar geldige URL-bestemming opduikt, " toegevoegd Higgins na onderzoek van dhr. d0x's mechanisme.
Om BitB te demonstreren, heeft mr.d0x een nepversie gemaakt van het online grafische ontwerpplatform, Canva. Wanneer iemand klikt om in te loggen op de nepsite met behulp van de SSO-optie, verschijnt het door BitB gemaakte inlogvenster met het legitieme adres van de vervalste SSO-provider, zoals Google, om de bezoeker te misleiden om zijn inloggegevens in te voeren, die zijn vervolgens naar de aanvallers gestuurd.
De techniek heeft indruk gemaakt op verschillende webontwikkelaars. "Ooh dat is smerig: Browser In The Browser (BITB) Attack, een nieuwe phishing-techniek die het mogelijk maakt om inloggegevens te stelen die zelfs een webprofessional niet kan detecteren", schreef François Zaninotto, CEO van web- en mobiel ontwikkelingsbedrijf Marmelab, op Twitter.
Kijk waar je heen gaat
Hoewel BitB overtuigender is dan gewone nep-inlogvensters, deelde Higgins een paar tips die mensen kunnen gebruiken om zichzelf te beschermen.
Om te beginnen, ondanks dat het BitB SSO-pop-upvenster eruitziet als een legitieme pop-up, is het dat echt niet. Daarom, als u de adresbalk van deze pop-up pakt en deze probeert te slepen, zal deze niet verder gaan dan de rand van het hoofdvenster van de website, in tegenstelling tot een echt pop-upvenster dat volledig onafhankelijk is en naar elk willekeurig onderdeel van het bureaublad.
Higgins deelde dat het testen van de legitimiteit van het SSO-venster met deze methode niet zou werken op een mobiel apparaat."Dit is waar [multi-factor authenticatie] of het gebruik van wachtwoordloze authenticatie-opties echt nuttig kan zijn. Zelfs als je ten prooi zou vallen aan de BitB-aanval, zouden [de oplichters] niet per se in staat zijn om [je gestolen inloggegevens te gebruiken] zonder de andere delen van een MFA-inlogroutine, " suggereerde Higgins.
Het internet is niet ons thuis. Het is een openbare ruimte. We moeten controleren wat we bezoeken.
Ook, aangezien het een nep-inlogvenster is, zal de wachtwoordbeheerder (als u er een gebruikt) de inloggegevens niet automatisch invullen, waardoor u opnieuw kunt pauzeren om iets verkeerds te ontdekken.
Het is ook belangrijk om te onthouden dat hoewel de BitB SSO-pop-up moeilijk te herkennen is, deze nog steeds moet worden gestart vanaf een kwaadaardige site. Om zo'n pop-up te zien, had je al op een nepwebsite moeten zijn.
Dit is de reden waarom, nu de cirkel rond is, Adrien Gendre, Chief Tech and Product Officer bij Vade Secure, mensen voorstelt om elke keer dat ze op een link klikken naar URL's te kijken.
"Op dezelfde manier waarop we het nummer op de deur controleren om er zeker van te zijn dat we in de juiste hotelkamer belanden, moeten mensen altijd snel naar de URL's kijken wanneer ze op een website surfen. Het internet is niet onze thuis. Het is een openbare ruimte. We moeten controleren wat we bezoeken, " benadrukte Gendre.