Негизги алып салуулар
- Коопсуздук изилдөөчүсү өтө ынанымдуу, бирок жасалма бир жолу кирүү калкыма терезелерин түзүүнүн жолун ойлоп тапты.
- Жасалма калкыма терезелер чыныгы болуп көрүнүү үчүн мыйзамдуу URL'дерди колдонушат.
- Бул куулук сырсөздөрдү колдонгон адамдардын эсептик дайындары эртеби-кечпи уурдаларын көрсөтүп турат, деп эскертет эксперттер.
Желеде чабыттоо күндөн күнгө татаал болуп баратат.
Учурдагы веб-сайттардын көбү каттоо эсебин түзүүнүн бир нече варианттарын сунушташат. Сиз веб-сайтка катталсаңыз болот, же Google, Facebook же Apple сыяктуу абройлуу компаниялар менен болгон аккаунттарыңызды колдонуп веб-сайтка кирүү үчүн бирдиктүү кирүү (SSO) механизмин колдонсоңуз болот. Киберкоопсуздук боюнча изилдөөчү муну өздөштүрдү жана жасалма SSO кирүү терезесин түзүп, сиздин логиндик дайындарыңызды уурдоо үчүн жаңы механизм ойлоп тапты.
"SSOнун өсүп жаткан популярдуулугу [адамдарга] көптөгөн артыкчылыктарды берет ", - деди Скотт Хиггинс, Dispersive Holdings, Inc компаниясынын инженердик директору Lifewireге электрондук почта аркылуу. "Бирок, акылдуу хакерлер азыр бул жолду укмуштуудай пайдаланып жатышат."
Жалган кирүү
Салттуу түрдө чабуулчулар жаңы, табуу кыйын болгон зыяндуу URL'дерди жана жасалма кирүү баракчаларын түзүү үчүн баштапкы URL'деги кээ бир тамгаларды окшош символдор менен алмаштырган гомограф чабуулдары сыяктуу тактиканы колдонушат.
Бирок, эгер адамдар URL дарегин кылдаттык менен карап чыгышса, бул стратегия көп учурда бузулат. Киберкоопсуздук индустриясы адамдарга URL тилкесинде туура даректи жана анын жанында веб-баракчанын коопсуз экенин көрсөткөн жашыл кулпу бар экенин текшерүүнү көптөн бери сунуштап келет.
"Мунун баары акыры мени ойлондурду: "URL дарегин текшерүү" кеңешин ишеничтүү кылса болобу? Бир жумалык мээ чабуулунан кийин мен жооп ооба деп чечтим ", - деп жазган анонимдүү изилдөөчү. псевдоним, mr.d0x.
Браузердеги браузер (BitB) деп аталган mr.d0x чабуулу фейк жасоо үчүн веб-HTML, каскаддык стилдер жадыбалдарын (CSS) жана JavaScriptтин үч негизги блокторун колдонот. Чыныгы нерседен айырмаланбаган SSO калкыма терезеси.
"Жасалма URL тилкеси каалаган нерсени, атүгүл жарактуу көрүнгөн жерлерди камтышы мүмкүн. Андан тышкары, JavaScript өзгөртүүлөрү шилтемени же кирүү баскычын басып коюу жарактуу көрүнгөн URL дарегин ачып берет, " деп кошумчалады. Хиггинс мырза текшергенден кийин. d0x механизми.
BitB көрсөтүү үчүн mr.d0x Canva онлайн графикалык дизайн платформасынын жасалма версиясын түздү. Кимдир бирөө SSO опциясын колдонуп жасалма сайтка кирүү үчүн чыкылдатканда, веб-сайт конокторду алдоо үчүн Google сыяктуу жасалма SSO провайдеринин мыйзамдуу дареги менен BitB иштелип чыккан кирүү терезесин ачат. андан кийин кол салгандарга жиберилет.
Техника бир нече веб-иштеп чыгуучуларды таң калтырды. "Оо, бул жагымсыз: Browser In The Browser (BITB) Attack, бул жаңы фишинг ыкмасы, ал тургай веб-профессионал да аныктай албаган эсептик дайындарды уурдоого мүмкүндүк берет", - деп жазды Франсуа Занинотто, Marmelab веб жана мобилдик өнүктүрүү компаниясынын башкы директору Твиттерде.
Кайда бара жатканыңды кара
BitB заманбап жасалма кирүү терезелерине караганда ынандырарлык болсо да, Хиггинс адамдар өздөрүн коргоо үчүн колдоно ала турган бир нече кеңеш менен бөлүштү.
Баштоочулар үчүн BitB SSO калкыма терезеси мыйзамдуу калкыма терезедей көрүнгөнү менен, чындыгында андай эмес. Ошондуктан, эгер сиз бул калкыма терезенин дарек тилкесин кармап, аны сүйрөп кетүүгө аракет кылсаңыз, ал веб-сайттын негизги терезесинин четинен ары жылбайт, ал толугу менен көз карандысыз жана каалаган терезеге жылдырыла турган чыныгы калкыма терезеден айырмаланып, иш тактасынын бир бөлүгү.
Хиггинс бул ыкманы колдонуу менен SSO терезесинин мыйзамдуулугун текшерүү мобилдик түзмөктө иштебей турганын бөлүштү."Бул жерде [көп факторлуу аутентификация] же сырсөзсүз аутентификациянын варианттарын колдонуу чындап эле пайдалуу болушу мүмкүн. Эгер BitB чабуулунун курмандыгы болсоңуз да, [шылуундар] сөзсүз түрдө [уурдалган эсептик дайындарыңызды колдоно алышпайт]. ТИМге кирүү тартибинин башка бөлүктөрү "деп сунуштады Хиггинс.
Интернет биздин үй эмес. Бул коомдук жай. Биз барган жерибизди текшеришибиз керек.
Ошондой эле, бул жасалма кирүү терезеси болгондуктан, сырсөз башкаргычы (эгерде аны колдонуп жатсаңыз) эсептик дайындарды автоматтык түрдө толтурбай, кайра бир нерсени байкап калуу үчүн тыныгуу берет.
Ошондой эле BitB SSO калкыма терезесин табуу кыйынга турса да, ал зыяндуу сайттан иштетилиши керек экенин эстен чыгарбоо керек. Мындай калкыма терезени көрүү үчүн жасалма вебсайтта болушуңуз керек болчу.
Ошондуктан, Adrien Gendre, Vade Secure компаниясынын башкы технология жана продукт кызматкери, толук чөйрөдө адамдар шилтемени чыкылдаткан сайын URL'дерди карап турууну сунуштайт.
"Туура мейманкана бөлмөсүнө кирээрибизди текшерүү үчүн эшиктеги номерди текшергендей эле, адамдар веб-сайтты карап жатканда URL даректерин тез карап турушу керек. Интернет биздин үй эмес. Бул коомдук жай. Биз эмнеге барганыбызды текшеришибиз керек ", - деп баса белгиледи Жэндре.