Հիմնական տանողներ
- Անվտանգության հետազոտողը մշակել է շատ համոզիչ, բայց կեղծ միայնակ մուտքի ելնող պատուհաններ ստեղծելու միջոց:
- Կեղծ թռուցիկները օգտագործում են օրինական URL-ներ՝ հետագայում իսկական երևալու համար:
- Հնարքը ցույց է տալիս, որ միայն գաղտնաբառեր օգտագործող մարդկանց հավատարմագրերը վաղ թե ուշ գողանալու են, զգուշացնում են փորձագետները:
Ցանցում նավարկելը օրեցօր ավելի բարդ է դառնում:
Այս օրերի կայքերից շատերն առաջարկում են հաշիվ ստեղծելու բազմաթիվ տարբերակներ:Կարող եք կա՛մ գրանցվել կայքում, կա՛մ օգտագործել մեկ մուտքի (SSO) մեխանիզմը՝ վեբ կայք մուտք գործելու համար՝ օգտագործելով ձեր գոյություն ունեցող հաշիվները հեղինակավոր ընկերություններում, ինչպիսիք են Google-ը, Facebook-ը կամ Apple-ը: Կիբերանվտանգության հետազոտողն օգտագործել է դա և ստեղծել նոր մեխանիզմ՝ ձեր մուտքի հավատարմագրերը գողանալու համար՝ ստեղծելով գործնականում չհայտնաբերվող կեղծ SSO մուտքի պատուհան:
«SSO-ի աճող ժողովրդականությունը շատ օգուտներ է տալիս [մարդկանց]», - Lifewire-ին էլփոստով ասաց Սքոթ Հիգինսը, Dispersive Holdings, Inc.-ի ճարտարագիտության տնօրենը: «Սակայն, խելացի հաքերներն այժմ օգտվում են այս երթուղուց հնարամիտ կերպով»:
Կեղծ մուտք
Ավանդաբար, հարձակվողները օգտագործում են մարտավարություն, ինչպիսին է հոմոգրաֆիկ հարձակումները, որոնք փոխարինում են սկզբնական URL-ի որոշ տառեր նմանատիպ նիշերով՝ ստեղծելու նոր, դժվար նկատելի չարամիտ URL-ներ և կեղծ մուտքի էջեր:
Սակայն, այս ռազմավարությունը հաճախ քանդվում է, եթե մարդիկ ուշադիր ուսումնասիրում են URL-ը: Կիբերանվտանգության արդյունաբերությունը վաղուց խորհուրդ է տվել մարդկանց ստուգել URL-ի գիծը՝ համոզվելու համար, որ այն նշված է ճիշտ հասցե, և դրա կողքին կա կանաչ կողպեք, որը ազդանշան է տալիս, որ վեբ էջն անվտանգ է:
«Այս ամենն ի վերջո ինձ ստիպեց մտածել, արդյոք հնարավո՞ր է «Ստուգեք URL-ի» խորհուրդը ավելի քիչ վստահելի դարձնել: Մեկ շաբաթ մտածելուց հետո ես որոշեցի, որ պատասխանը այո է», - գրել է անանուն հետազոտողը, որն օգտագործում է: կեղծանունը՝ mr.d0x.
Ստեղծված mr.d0x գրոհը, որը կոչվում է զննարկիչ-ի զննարկիչում (BitB), օգտագործում է վեբ-HTML-ի, կասկադային ոճի թերթիկների (CSS) և JavaScript-ի երեք հիմնական կառուցվածքային բլոկները՝ կեղծ գրելու համար: SSO թռուցիկ պատուհան, որն ըստ էության չի տարբերվում իրականից:
«Կեղծ URL-ի սանդղակը կարող է պարունակել այն ամենը, ինչ նա ուզում է, նույնիսկ թվացյալ վավերական վայրեր: Ավելին, JavaScript-ի փոփոխություններն այնպես են դարձնում, որ սավառնելով հղման կամ մուտքի կոճակի վրա, կհայտնվի նաև թվացյալ վավեր URL հասցե», - ավելացրեց. Հիգինսը զննելուց հետո պրն. d0x-ի մեխանիզմը։
BitB-ն ցուցադրելու համար mr.d0x-ը ստեղծեց առցանց գրաֆիկական դիզայնի հարթակի՝ Canva-ի կեղծ տարբերակը: Երբ ինչ-որ մեկը կտտացնում է կեղծ կայք մուտք գործելու համար՝ օգտագործելով SSO տարբերակը, կայքը բացում է BitB մշակված մուտքի պատուհանը կեղծված SSO մատակարարի օրինական հասցեով, ինչպիսին է Google-ը, որպեսզի խաբի այցելուին մուտքագրելու իր մուտքի հավատարմագրերը, որոնք. այնուհետև ուղարկվել է հարձակվողներին:
Տեխնիկան տպավորել է մի քանի վեբ մշակողների: «Օհ, դա զզվելի է. Browser In The Browser (BITB) Attack, ֆիշինգի նոր տեխնիկա, որը թույլ է տալիս գողանալ հավատարմագրերը, որոնք նույնիսկ վեբ մասնագետը չի կարող հայտնաբերել», - Twitter-ում գրել է վեբ և բջջային զարգացման ընկերության գործադիր տնօրեն Ֆրանսուա Զանինոտոն:
Նայեք, թե ուր եք գնում
Չնայած BitB-ն ավելի համոզիչ է, քան սովորական կեղծ մուտքի պատուհանները, Հիգինսը կիսվել է մի քանի խորհուրդներով, որոնք մարդիկ կարող են օգտագործել իրենց պաշտպանելու համար:
Սկզբի համար, չնայած BitB SSO թռուցիկ պատուհանը օրինական թռուցիկ տեսք ունի, այն իրականում այդպես չէ: Հետևաբար, եթե բռնեք այս թռուցիկ պատուհանի հասցեի տողը և փորձեք քաշել այն, այն չի անցնի հիմնական կայքի պատուհանի եզրից այն կողմ, ի տարբերություն իրական թռուցիկ պատուհանի, որը լիովին անկախ է և կարող է տեղափոխվել ցանկացած աշխատասեղանի մի մասը։
Հիգինսը կիսվել է, որ SSO պատուհանի օրինականության փորձարկումն այս մեթոդով չի աշխատի շարժական սարքի վրա:«Սա այն վայրն է, որտեղ [բազմագործոն նույնականացումը] կամ առանց գաղտնաբառի նույնականացման ընտրանքների օգտագործումը կարող է իսկապես օգտակար լինել: Նույնիսկ եթե դուք դառնաք BitB հարձակման զոհը, [խաբեբաները] անպայման չէին կարողանա [օգտագործել ձեր գողացված հավատարմագրերը] առանց ԱԳՆ-ի մուտքի ռեժիմի մյուս մասերը», - առաջարկեց Հիգինսը:
Ինտերնետը մեր տունը չէ։ Այն հանրային տարածք է։ Մենք պետք է ստուգենք, թե ինչ ենք այցելում։
Նաև, քանի որ դա կեղծ մուտքի պատուհան է, գաղտնաբառի կառավարիչը (եթե դուք օգտագործում եք այդպիսին) ավտոմատ կերպով չի լրացնի հավատարմագրերը, և կրկին թույլ կտա ձեզ դադար՝ ինչ-որ սխալ նկատելու համար:
Կարևոր է նաև հիշել, որ չնայած BitB SSO ելնող պատուհանը դժվար է նկատել, այն դեռ պետք է գործարկվի վնասակար կայքից: Այսպիսի թռուցիկ տեսնելու համար դուք արդեն պետք է լինեք կեղծ կայքում:
Ահա թե ինչու, գալով ամբողջ շրջանակը, Vade Secure-ի տեխնիկական և արտադրանքի գլխավոր տնօրեն Ադրիեն Ժենդրեն առաջարկում է մարդկանց նայել URL-ները ամեն անգամ, երբ սեղմում են հղումը:
«Ինչպես մենք ստուգում ենք դռան համարը, որպեսզի համոզվենք, որ հյուրանոցի ճիշտ սենյակում ենք, մարդիկ միշտ պետք է արագ նայեն URL-ները, երբ զննում են կայք: Ինտերնետը մեր տունը չէ: Դա հանրային տարածք է: Մենք պետք է ստուգենք, թե ինչ ենք այցելում»,- շեշտեց Ժենդրեն:
