ซื้อกลับบ้านที่สำคัญ
- นักวิจัยด้านความปลอดภัยได้คิดค้นวิธีสร้างป๊อปอัปการเข้าสู่ระบบการลงชื่อเพียงครั้งเดียวที่น่าเชื่อถือแต่ปลอมขึ้นมา
- ป๊อปอัปปลอมใช้ URL ที่ถูกต้องเพื่อให้ปรากฏเป็นของแท้ต่อไป
- เคล็ดลับแสดงให้เห็นว่าผู้ที่ใช้รหัสผ่านเพียงอย่างเดียวจะถูกขโมยข้อมูลประจำตัวไม่ช้าก็เร็ว เตือนผู้เชี่ยวชาญ
การท่องเว็บยากขึ้นทุกวัน
เว็บไซต์ส่วนใหญ่ในปัจจุบันมีตัวเลือกมากมายในการสร้างบัญชีคุณสามารถลงทะเบียนกับเว็บไซต์หรือใช้กลไกการลงชื่อเพียงครั้งเดียว (SSO) เพื่อเข้าสู่ระบบเว็บไซต์โดยใช้บัญชีที่มีอยู่ของคุณกับบริษัทที่มีชื่อเสียง เช่น Google, Facebook หรือ Apple นักวิจัยด้านความปลอดภัยทางไซเบอร์ใช้ประโยชน์จากสิ่งนี้และคิดค้นกลไกใหม่เพื่อขโมยข้อมูลรับรองการเข้าสู่ระบบของคุณโดยการสร้างหน้าต่างเข้าสู่ระบบ SSO ปลอมที่ตรวจไม่พบ
"ความนิยมที่เพิ่มขึ้นของ SSO ให้ประโยชน์มากมายแก่ [ผู้คน]" Scott Higgins ผู้อำนวยการฝ่ายวิศวกรรมของ Dispersive Holdings, Inc กล่าวกับ Lifewire ทางอีเมล "อย่างไรก็ตาม แฮ็กเกอร์ที่ฉลาดกำลังใช้ประโยชน์จากเส้นทางนี้อย่างชาญฉลาด"
ล็อกอินปลอม
ตามเนื้อผ้า ผู้โจมตีใช้กลยุทธ์เช่นการโจมตีด้วยคำพ้องเสียงที่แทนที่ตัวอักษรบางตัวใน URL ดั้งเดิมด้วยอักขระที่ดูคล้ายคลึงกันเพื่อสร้าง URL ที่เป็นอันตรายใหม่ซึ่งมองเห็นได้ยากและหน้าเข้าสู่ระบบปลอม
อย่างไรก็ตาม กลยุทธ์นี้มักจะล้มเหลวหากผู้คนตรวจสอบ URL อย่างละเอียดถี่ถ้วน อุตสาหกรรมการรักษาความปลอดภัยทางไซเบอร์ได้แนะนำให้ผู้คนตรวจสอบแถบ URL มาเป็นเวลานานเพื่อให้แน่ใจว่าแสดงที่อยู่ที่ถูกต้อง และมีแม่กุญแจสีเขียวอยู่ข้างๆ ซึ่งส่งสัญญาณว่าหน้าเว็บนั้นปลอดภัย
"ทั้งหมดนี้ทำให้ฉันคิดได้ว่า เป็นไปได้ไหมที่จะทำให้คำแนะนำ 'ตรวจสอบ URL' น่าเชื่อถือน้อยลง หลังจากระดมความคิดมาหนึ่งสัปดาห์ ฉันตัดสินใจว่าคำตอบคือใช่ " นักวิจัยนิรนามที่ใช้ นามแฝง mr.d0x.
การโจมตีที่ mr.d0x สร้างขึ้น ชื่อ browser-in-the-browser (BitB) ใช้ส่วนประกอบสำคัญ 3 อย่างของเว็บ HTML, cascading style ชีต (CSS) และ JavaScript เพื่อประดิษฐ์ของปลอม หน้าต่างป๊อปอัป SSO ที่แยกไม่ออกจากของจริงเป็นหลัก
"แถบ URL ปลอมสามารถมีอะไรก็ได้ที่ต้องการ แม้จะดูเหมือนเป็นตำแหน่งที่ถูกต้อง นอกจากนี้ การปรับเปลี่ยน JavaScript ทำให้การเลื่อนเมาส์ไปวางบนลิงก์หรือปุ่มเข้าสู่ระบบจะแสดงปลายทาง URL ที่ดูเหมือนถูกต้องด้วย" เพิ่ม ฮิกกินส์หลังจากตรวจสอบนาย กลไกของ d0x
เพื่อสาธิต BitB mr.d0x ได้สร้าง Canva แพลตฟอร์มการออกแบบกราฟิกออนไลน์ปลอม เมื่อมีคนคลิกเข้าสู่ระบบเว็บไซต์ปลอมโดยใช้ตัวเลือก SSO เว็บไซต์จะแสดงหน้าต่างการเข้าสู่ระบบที่สร้างด้วย BitB พร้อมที่อยู่ที่ถูกต้องของผู้ให้บริการ SSO ที่ปลอมแปลง เช่น Google เพื่อหลอกให้ผู้เยี่ยมชมป้อนข้อมูลรับรองการเข้าสู่ระบบ ซึ่งก็คือ แล้วส่งไปยังผู้โจมตี
เทคนิคนี้ประทับใจนักพัฒนาเว็บหลายคน "โอ้ แย่จัง: Browser In The Browser (BITB) Attack ซึ่งเป็นเทคนิคฟิชชิ่งแบบใหม่ที่ช่วยให้สามารถขโมยข้อมูลประจำตัวที่แม้แต่มืออาชีพด้านเว็บไม่สามารถตรวจจับได้" François Zaninotto ซีอีโอของบริษัทพัฒนาเว็บและมือถือ Marmelab เขียนบน Twitter
มองไปไหน
ในขณะที่ BitB นั้นน่าเชื่อมากกว่าหน้าต่างล็อกอินปลอมทั่วไป Higgins ได้แบ่งปันเคล็ดลับสองสามข้อที่ผู้คนสามารถใช้เพื่อปกป้องตัวเอง
สำหรับผู้เริ่มต้น แม้ว่าหน้าต่างป๊อปอัป BitB SSO จะดูเหมือนป๊อปอัปที่ถูกต้อง แต่จริงๆ แล้วไม่ใช่ ดังนั้น หากคุณคว้าแถบที่อยู่ของป๊อปอัปนี้และพยายามลากมัน มันจะไม่เคลื่อนเกินขอบหน้าต่างของเว็บไซต์หลัก ต่างจากหน้าต่างป๊อปอัปจริง ๆ ที่แยกจากกันโดยสิ้นเชิงและสามารถย้ายไปยังส่วนใดก็ได้ ส่วนหนึ่งของเดสก์ท็อป
Higgins แชร์ว่าการทดสอบความถูกต้องของหน้าต่าง SSO โดยใช้วิธีนี้จะไม่ทำงานบนอุปกรณ์เคลื่อนที่"นี่คือจุดที่ [การตรวจสอบสิทธิ์แบบหลายปัจจัย] หรือการใช้ตัวเลือกการตรวจสอบสิทธิ์แบบไม่ใช้รหัสผ่านมีประโยชน์จริง ๆ แม้ว่าคุณจะตกเป็นเหยื่อของการโจมตีด้วย BitB [ผู้หลอกลวง] ก็ไม่จำเป็นต้อง [ใช้ข้อมูลรับรองที่ถูกขโมยของคุณ] หากไม่มี ส่วนอื่น ๆ ของรูทีนการเข้าสู่ระบบ MFA " แนะนำฮิกกินส์
เน็ตไม่ใช่บ้านเรา เป็นพื้นที่สาธารณะ เราต้องเช็คก่อนว่าไปเที่ยวอะไรมาบ้าง
นอกจากนี้ เนื่องจากเป็นหน้าต่างเข้าสู่ระบบปลอม ตัวจัดการรหัสผ่าน (หากคุณใช้อยู่) จะไม่กรอกข้อมูลประจำตัวโดยอัตโนมัติ ทำให้คุณหยุดอีกครั้งเพื่อสังเกตสิ่งผิดปกติ
สิ่งสำคัญคือต้องจำไว้ด้วยว่าแม้ว่าป๊อปอัป BitB SSO จะมองเห็นได้ยาก แต่ก็ยังต้องเปิดจากไซต์ที่เป็นอันตราย หากต้องการเห็นป๊อปอัปเช่นนี้ คุณจะต้องอยู่ในเว็บไซต์ปลอมอยู่แล้ว
นี่คือเหตุผลที่ Adrien Gendre หัวหน้าฝ่ายเทคนิคและเจ้าหน้าที่ฝ่ายผลิตภัณฑ์ของ Vade Secure เข้ามาเต็มวง แนะนำให้ผู้คนดู URL ทุกครั้งที่คลิกลิงก์
"เช่นเดียวกับที่เราตรวจสอบหมายเลขที่ประตูเพื่อให้แน่ใจว่าเราอยู่ในห้องที่ถูกต้อง ผู้คนควรดู URL อย่างรวดเร็วเมื่อเรียกดูเว็บไซต์ อินเทอร์เน็ตไม่ใช่บ้านของเรา มันเป็นพื้นที่สาธารณะ เราต้องตรวจสอบสิ่งที่เรากำลังเยี่ยมชม " เน้นประเภท
