Key Takeaways
- Ein Sicherheitsforscher hat einen Weg gefunden, um sehr überzeugende, aber gefälschte Single-Sign-On-Login-Popups zu erstellen.
- Die gefälschten Pop-ups verwenden legitime URLs, um weiterhin echt zu erscheinen.
- Der Trick demonstriert, dass Benutzern, die nur Passwörter verwenden, früher oder später ihre Zugangsdaten gestohlen werden, warnen Experten.
Das Navigieren im Internet wird jeden Tag schwieriger.
Die meisten Websites bieten heutzutage mehrere Optionen zum Erstellen eines Kontos. Sie können sich entweder auf der Website registrieren oder den Single-Sign-On-Mechanismus (SSO) verwenden, um sich mit Ihren bestehenden Konten bei namhaften Unternehmen wie Google, Facebook oder Apple auf der Website anzumelden. Ein Cybersicherheitsforscher hat daraus Kapital geschlagen und einen neuartigen Mechanismus entwickelt, um Ihre Anmeldeinformationen zu stehlen, indem er ein praktisch nicht erkennbares gefälschtes SSO-Anmeldefenster erstellt.
"Die wachsende Popularität von SSO bietet [den Menschen] viele Vorteile", sagte Scott Higgins, Director of Engineering bei Dispersive Holdings, Inc, Lifewire per E-Mail. "Allerdings machen sich clevere Hacker diesen Weg jetzt auf raffinierte Weise zunutze."
Fake Login
Traditionell verwenden Angreifer Taktiken wie Homograph-Angriffe, bei denen einige der Buchstaben in der ursprünglichen URL durch ähnlich aussehende Zeichen ersetzt werden, um neue, schwer zu erkennende bösartige URLs und gefälschte Anmeldeseiten zu erstellen.
Allerdings scheitert diese Strategie oft, wenn Leute die URL genau prüfen. Die Cybersicherheitsbranche rät den Menschen seit langem, die URL-Leiste zu überprüfen, um sicherzustellen, dass sie die richtige Adresse auflistet, und daneben ein grünes Vorhängeschloss, das signalisiert, dass die Webseite sicher ist.
"All dies führte mich schließlich zu der Überlegung, ob es möglich ist, den Ratschlag "URL prüfen" weniger zuverlässig zu machen? Nach einer Woche des Brainstormings entschied ich, dass die Antwort ja lautet", schrieb der anonyme Forscher, der verwendet das Pseudonym mr.d0x.
Der von mr.d0x erstellte Angriff mit dem Namen Browser-in-the-Browser (BitB) verwendet die drei wesentlichen Bausteine des Webs – HTML, Cascading Style Sheets (CSS) und JavaScript – um eine Fälschung zu erstellen SSO-Pop-up-Fenster, das im Wesentlichen nicht von der Realität zu unterscheiden ist.
"Die gefälschte URL-Leiste kann alles enth alten, was sie will, sogar scheinbar gültige Orte. Darüber hinaus sorgen JavaScript-Modifikationen dafür, dass beim Bewegen der Maus über den Link oder die Anmeldesch altfläche auch ein scheinbar gültiges URL-Ziel angezeigt wird", fügte er hinzu Higgins nach der Untersuchung von mr. Der Mechanismus von d0x.
Um BitB zu demonstrieren, hat mr.d0x eine gefälschte Version der Online-Grafikdesign-Plattform Canva erstellt. Wenn jemand klickt, um sich mit der SSO-Option bei der gefälschten Website anzumelden, öffnet die Website das von BitB gest altete Anmeldefenster mit der legitimen Adresse des gefälschten SSO-Anbieters wie Google, um den Besucher dazu zu bringen, seine Anmeldeinformationen einzugeben dann an die Angreifer geschickt.
Die Technik hat mehrere Webentwickler beeindruckt. „Ooh, das ist böse: Browser In The Browser (BITB) Attack, eine neue Phishing-Technik, die es ermöglicht, Zugangsdaten zu stehlen, die selbst ein Webprofi nicht erkennen kann“, schrieb François Zaninotto, CEO des Web- und Mobilentwicklungsunternehmens Marmelab, auf Twitter.
Schau wohin du gehst
Während BitB überzeugender ist als gewöhnliche gefälschte Anmeldefenster, hat Higgins ein paar Tipps geteilt, mit denen sich die Leute schützen können.
Für den Anfang, obwohl das BitB-SSO-Popup-Fenster wie ein legitimes Popup-Fenster aussieht, ist es das wirklich nicht. Wenn Sie also die Adressleiste dieses Popups greifen und versuchen, es zu ziehen, bewegt es sich nicht über den Rand des Hauptfensters der Website hinaus, im Gegensatz zu einem echten Popup-Fenster, das völlig unabhängig ist und in jedes verschoben werden kann Teil des Desktops.
Higgins teilte mit, dass das Testen der Legitimität des SSO-Fensters mit dieser Methode auf einem Mobilgerät nicht funktionieren würde.„Hier kann [die Multi-Faktor-Authentifizierung] oder die Verwendung passwortloser Authentifizierungsoptionen wirklich hilfreich sein. Selbst wenn Sie dem BitB-Angriff zum Opfer gefallen wären, wären [die Betrüger] nicht unbedingt in der Lage, ohne [Ihre gestohlenen Anmeldeinformationen zu verwenden]. die anderen Teile einer MFA-Login-Routine", schlug Higgins vor.
Das Internet ist nicht unser Zuhause. Es ist ein öffentlicher Raum. Wir müssen überprüfen, was wir besuchen.
Da es sich außerdem um ein gefälschtes Anmeldefenster handelt, füllt der Passwort-Manager (falls Sie einen verwenden) die Anmeldeinformationen nicht automatisch aus, was Ihnen wiederum eine Pause gibt, um etwas nicht in Ordnung zu finden.
Es ist auch wichtig, daran zu denken, dass das BitB-SSO-Popup zwar schwer zu erkennen ist, aber dennoch von einer bösartigen Website gestartet werden muss. Um ein solches Pop-up zu sehen, müssten Sie sich bereits auf einer gefälschten Website befinden.
Aus diesem Grund schließt sich der Kreis und Adrien Gendre, Chief Tech and Product Officer bei Vade Secure, schlägt vor, dass die Benutzer jedes Mal, wenn sie auf einen Link klicken, auf die URLs achten sollten.
"So wie wir die Nummer an der Tür überprüfen, um sicherzustellen, dass wir im richtigen Hotelzimmer landen, sollten die Leute beim Surfen auf einer Website immer einen kurzen Blick auf die URLs werfen. Das Internet ist nicht unser Zuhause. Es ist ein öffentlicher Raum. Wir müssen überprüfen, was wir besuchen", betonte Gendre.
