Asosiy takliflar
- Xavfsizlik boʻyicha tadqiqotchi oʻta ishonchli, ammo soxta bir marta kirish uchun qalqib chiquvchi oynalarni yaratish usulini oʻylab topdi.
- Soxta qalqib chiquvchi oynalar haqiqiy koʻrinishi uchun qonuniy URL manzillardan foydalanadi.
- Bu hiyla shuni koʻrsatadiki, yolgʻiz parol ishlatadigan odamlarning hisob maʼlumotlari ertami kechmi oʻgʻirlanadi, deb ogohlantiradi mutaxassislar.
Internetda navigatsiya kundan kunga qiyinlashib bormoqda.
Hozirgi kunda aksariyat veb-saytlar hisob yaratish uchun bir nechta variantni taklif qiladi. Siz veb-saytda ro'yxatdan o'tishingiz yoki Google, Facebook yoki Apple kabi nufuzli kompaniyalardagi mavjud hisoblaringizdan foydalangan holda veb-saytga kirish uchun yagona kirish (SSO) mexanizmidan foydalanishingiz mumkin. Kiberxavfsizlik boʻyicha tadqiqotchi bundan unumli foydalandi va deyarli aniqlanmaydigan soxta SSO kirish oynasini yaratish orqali login maʼlumotlaringizni oʻgʻirlashning yangi mexanizmini ishlab chiqdi.
"SSOning tobora ommalashib borishi [odamlarga] juda ko'p foyda keltiradi", dedi Skott Xiggins, Dispersive Holdings, Inc muhandislik bo'yicha direktori Lifewire'ga elektron pochta orqali. “Ammo, aqlli xakerlar endi bu yoʻldan mohirona foydalanmoqda.”
Soxta login
An'anaga ko'ra, tajovuzkorlar yangi, aniqlash qiyin bo'lgan zararli URL-manzillar va soxta kirish sahifalarini yaratish uchun asl URLdagi ba'zi harflarni o'xshash belgilar bilan almashtiradigan gomograf hujumlari kabi taktikalardan foydalanganlar.
Ammo, agar odamlar URL manzilini sinchkovlik bilan oʻrgansa, bu strategiya koʻpincha buziladi. Kiberxavfsizlik sanoati uzoq vaqtdan beri odamlarga URL satrida toʻgʻri manzil koʻrsatilganligini va uning yonida veb-sahifa xavfsizligini bildiruvchi yashil qulf borligini tekshirishni maslahat berib keladi.
"Bularning barchasi oxir-oqibat meni o'ylashga undadi: "URLni tekshirish" maslahatini kamroq ishonchli qilish mumkinmi? Bir haftalik aqliy hujumdan so'ng men javob ha, deb qaror qildim ", deb yozadi anonim tadqiqotchi. taxallus, mr.d0x.
Brauzerdagi brauzer (BitB) deb nomlangan mr.d0x hujumi soxta ma'lumotlarni yaratish uchun veb-HTML, kaskadli uslublar jadvallari (CSS) va JavaScript-ning uchta asosiy bloklaridan foydalanadi. SSO qalqib chiquvchi oynasi, u haqiqiy narsadan deyarli farq qilmaydi.
Soxta URL satri oʻzi xohlagan narsani, hatto haqiqiy koʻrinadigan joylarni ham oʻz ichiga olishi mumkin. Bundan tashqari, JavaScript-ni oʻzgartirish orqali havola yoki tizimga kirish tugmasi sichqonchani koʻtarib tursangiz, haqiqiy URL manzili ham paydo boʻladi”, deya qoʻshimcha qildi Xiggins janobni tekshirgandan so'ng. d0x mexanizmi.
BitB-ni namoyish qilish uchun mr.d0x Canva onlayn grafik dizayn platformasining soxta versiyasini yaratdi. Kimdir SSO opsiyasi yordamida soxta saytga kirish uchun bosganida, veb-sayt tashrif buyuruvchini aldash uchun Google kabi soxta SSO provayderining qonuniy manzili bilan BitB tomonidan yaratilgan kirish oynasini ochadi. keyin hujumchilarga yuboriladi.
Texnik bir qancha veb-ishlab chiquvchilarni hayratda qoldirdi. "Oh, bu juda yomon: Brauzerdagi brauzer (BITB) hujumi, bu yangi fishing usuli bo'lib, hatto veb-mutaxassis ham aniqlay olmaydigan hisob ma'lumotlarini o'g'irlashga imkon beradi", deb yozdi Fransua Zaninotto, Marmelab veb va mobil rivojlanish kompaniyasining bosh direktori.
Qaerga ketayotganingizni qarang
BitB soxta kirish oynalaridan koʻra ishonchliroq boʻlsa-da, Xiggins odamlar oʻzlarini himoya qilish uchun foydalanishi mumkin boʻlgan bir nechta maslahatlar bilan boʻlishdi.
Yangi boshlanuvchilar uchun, BitB SSO qalqib chiquvchi oynasi qonuniy qalqib chiquvchi oynaga oʻxshab koʻrinsa ham, unday emas. Shuning uchun, agar siz ushbu qalqib chiquvchi oynaning manzil satrini tutib, uni sudrab o'tmoqchi bo'lsangiz, u butunlay mustaqil va istalgan oynaga ko'chirilishi mumkin bo'lgan haqiqiy qalqib chiquvchi oynadan farqli o'laroq, asosiy veb-sayt oynasining chetidan o'tmaydi. ish stolining bir qismi.
Xiggins ushbu usul yordamida SSO oynasining qonuniyligini tekshirish mobil qurilmada ishlamasligini aytdi."Bu erda [ko'p faktorli autentifikatsiya] yoki parolsiz autentifikatsiya opsiyalaridan foydalanish haqiqatan ham foydali bo'lishi mumkin. Agar siz BitB hujumi qurboniga aylangan bo'lsangiz ham, [firibgarlar] [o'g'irlangan hisob ma'lumotlaringizdan] foydalanishi shart emas. TIVga kirish tartibining boshqa qismlari, - deb taklif qildi Xiggins.
Internet bizning uyimiz emas. Bu jamoat maydoni. Biz tashrif buyurayotgan joyimizni tekshirishimiz kerak.
Shuningdek, bu soxta kirish oynasi boʻlgani uchun parol menejeri (agar foydalanayotgan boʻlsangiz) hisob maʼlumotlarini avtomatik ravishda toʻldirmaydi, bu esa xatolikni aniqlash uchun yana pauza qilish imkonini beradi.
BitB SSO qalqib chiquvchi oynasini aniqlash qiyin boʻlsa-da, uni zararli saytdan ishga tushirish kerakligini ham yodda tutish kerak. Bunday qalqib chiquvchi oynani ko'rish uchun siz allaqachon soxta veb-saytda bo'lishingiz kerak edi.
Shuning uchun Vade Secure kompaniyasining texnologiya va mahsulot boʻyicha bosh direktori Adrien Gendre har safar havolani bosganlarida URL manzillarini koʻrishni tavsiya qiladi.
"Biz to'g'ri mehmonxona xonasiga kirganimizga ishonch hosil qilish uchun eshikdagi raqamni tekshirganimizdek, odamlar veb-saytlarni ko'rishda doimo URL manzillarini tezda ko'rib chiqishlari kerak. Internet bizning uyimiz emas. Bu jamoat joyi. Biz tashrif buyurayotgan joyimizni tekshirishimiz kerak ", deb ta'kidladi Gendre.