الأمان الجاد: هجمات المستعرض داخل المتصفح - احترس من النوافذ غير الموجودة!

كتب الباحثون في شركة استخبارات التهديدات Group-IB للتو شيئًا مثيرًا للاهتمام قصة واقعية حول خدعة تصيد بسيطة بشكل مزعج ولكنها فعالة بشكل مدهش تُعرف باسم بيتب، باختصار ل المتصفح في المتصفح.

ربما سمعت عن عدة أنواع من هجمات X-in-the-Y من قبل ، على وجه الخصوص MITM و ميتب، باختصار ل مناور في الوسط و مناور في المتصفح.

في هجوم MitM ، يقوم المهاجمون الذين يريدون خداعك بوضع أنفسهم في مكان ما "في منتصف" الشبكة ، بين جهاز الكمبيوتر الخاص بك والخادم الذي تحاول الوصول إليه.

(قد لا يكونون حرفياً في الوسط ، سواء جغرافياً أو قفزاً ، لكن مهاجمي MitM موجودون في مكان ما على طول المسار ، ليس صحيحًا في أي من الطرفين.)

الفكرة هي أنه بدلاً من الاضطرار إلى اقتحام جهاز الكمبيوتر الخاص بك ، أو الدخول إلى الخادم في الطرف الآخر ، فإنهم يجذبونك بالاتصال بهم بدلاً من ذلك (أو التلاعب عمدًا بمسار الشبكة ، والذي لا يمكنك التحكم فيه بسهولة بمجرد خروج الحزم من جهاز التوجيه الخاص بك) ، ثم يتظاهرون بأنهم الطرف الآخر - وكيل خبيث ، إذا أردت.

يمررون الحزم الخاصة بك إلى الوجهة الرسمية ، ويتطفلون عليها وربما يتلاعبون بها في الطريق ، ثم يتلقون الردود الرسمية ، التي يمكنهم التطفل عليها وتعديلها للمرة الثانية ، ثم يعيدونها إليك كما لو كنت أنت '' د متصل تمامًا كما توقعت.

إذا كنت لا تستخدم التشفير من طرف إلى طرف مثل HTTPS من أجل حماية كل من سرية (عدم التطفل!) وسلامة حركة المرور (بدون العبث!) ، فمن غير المحتمل أن تلاحظ ، أو حتى تكون قادرًا على ذلك اكتشف ، أن شخصًا آخر قام بفتح رسائلك الرقمية أثناء النقل ، ثم ختمها مرة أخرى بعد ذلك.

مهاجمة من طرف واحد

A ميتب يهدف الهجوم إلى العمل بطريقة مماثلة ، ولكن لتجنب المشكلة التي تسببها HTTPS ، مما يجعل هجوم MitM أكثر صعوبة.

لا يمكن لمهاجمي MitM التدخل بسهولة في حركة المرور المشفرة باستخدام HTTPS: لا يمكنهم التطفل على بياناتك ، لأنهم لا يمتلكون مفاتيح التشفير المستخدمة من قبل كل طرف لحمايتها ؛ لا يمكنهم تغيير البيانات المشفرة ، لأن التحقق من التشفير عند كل طرف سيطلق الإنذار ؛ ولا يمكنهم التظاهر بأنهم الخادم الذي تتصل به لأنهم لا يمتلكون سر التشفير الذي يستخدمه الخادم لإثبات هويته.

لذلك يعتمد هجوم MitB عادةً على تسلل البرامج الضارة إلى جهاز الكمبيوتر الخاص بك أولاً.

يعد هذا بشكل عام أكثر صعوبة من مجرد الدخول إلى الشبكة في مرحلة ما ، ولكنه يمنح المهاجمين ميزة كبيرة إذا تمكنوا من إدارتها.

هذا لأنه إذا تمكنوا من إدخال أنفسهم داخل متصفحك ، فسيكون بإمكانهم رؤية وتعديل حركة مرور الشبكة الخاصة بك قبل أن يقوم متصفحك بتشفيره للإرسال ، مما يلغي أي حماية HTTPS صادرة ، و بعد أن يقوم المستعرض الخاص بك بفك تشفيره في طريق العودة ، وبالتالي إبطال التشفير المطبق من قبل الخادم لحماية ردوده.

ماذا عن BitB؟

ولكن ماذا عن ملف بيتب هجوم؟

متصفح في المتصفح هو شيء مليء بالفم ، والخداع الذي ينطوي عليه الأمر لا يمنح مجرمي الإنترنت في أي مكان قريبًا من القوة مثل MitM أو اختراق MitB ، ولكن المفهوم بسيط للغاية ، وإذا كنت في عجلة من أمرك ، فمن المدهش من السهل الوقوع في ذلك.

تتمثل فكرة هجوم BitB في إنشاء ما يشبه نافذة متصفح منبثقة تم إنشاؤها بشكل آمن بواسطة المتصفح نفسه ، ولكن هذا في الواقع ليس أكثر من صفحة ويب تم عرضها في نافذة متصفح موجودة.

قد تعتقد أن هذا النوع من الخداع محكوم عليه بالفشل ، وذلك ببساطة لأن أي محتوى في الموقع X يتظاهر بأنه من الموقع Y سيظهر في المتصفح نفسه على أنه قادم من عنوان URL على الموقع X.

ستوضح نظرة واحدة على شريط العناوين أنك كذبت ، وأن كل ما تبحث عنه هو على الأرجح موقع تصيد احتيالي.

مثال Foe ، إليك لقطة شاشة لـ example.com موقع ويب تم التقاطه في Firefox على جهاز Mac:

إذا استدرجك المهاجمون إلى موقع مزيف ، فقد تقع في غرام المرئيات إذا قاموا بنسخ المحتوى عن كثب ، لكن شريط العناوين سيعرض أنك لم تكن موجودًا في الموقع الذي تبحث عنه.

في عملية احتيال Browser-in-the-Browser ، يكون هدف المهاجم هو إنشاء شبكة ويب عادية صفحة يشبه الويب الموقع والمحتوى كنت تتوقع ، كاملة مع زخارف النوافذ وشريط العناوين ، محاكاه بشكل واقعي قدر الإمكان.

بطريقة ما ، فإن هجوم BitB يتعلق بالفن أكثر منه بالعلم ، وهو يتعلق بتصميم الويب وإدارة التوقعات أكثر منه حول اختراق الشبكة.

على سبيل المثال ، إذا أنشأنا ملفين من ملفات الصور المقطوعة على الشاشة يبدوان هكذا ...

... ثم HTML بسيط مثل ما تراه أدناه ...

<html>
   <body>
      <div>
         <div><img src='./fake-top.png'></div>
         <p>
         <div><img src='./fake-bot.png'></div>
      </div>
   </body>
</html>

… سينشئ ما يشبه نافذة متصفح داخل نافذة متصفح موجودة ، مثل هذا:

في هذا المثال الأساسي ، لن تفعل أزرار macOS الثلاثة (إغلاق ، تصغير ، تكبير) في الجزء العلوي الأيسر أي شيء ، لأنها ليست أزرار نظام التشغيل ، إنها فقط صور الأزرار، ولا يمكن النقر فوق شريط العناوين في ما يشبه نافذة Firefox أو تحريره ، لأنه كذلك مجرد لقطة شاشة.

ولكن إذا أضفنا الآن IFRAME إلى HTML الذي عرضناه أعلاه ، لامتصاص محتوى زائف من موقع لا علاقة له به example.com، مثله…

<html>
   <body>
      <div>
         <div><img src='./fake-top.png' /></div>   
         <div><iframe src='https:/dodgy.test/phish.html' frameBorder=0 width=650 height=220></iframe></div>
         <div><img src='./fake-bot.png' /></div>
      </div>
   </body>
</html>

... عليك أن تعترف بأن المحتوى المرئي الناتج يبدو تمامًا مثل نافذة متصفح مستقلة، على الرغم من أنه في الواقع ملف صفحة ويب داخل نافذة متصفح أخرى.

تم تنزيل محتوى النص والارتباط القابل للنقر الذي تراه أدناه من ملف dodgy.test رابط HTTPS في ملف HTML أعلاه ، والذي يحتوي على كود HTML هذا:

<html>
   <body style='font-family:sans-serif'>
      <div style='width:530px;margin:2em;padding:0em 1em 1em 1em;'>
         <h1>Example Domain</h1>

         <p>This window is a simulacrum of the real website,
         but it did not come from the URL shown above.
         It looks as though it might have, though, doesn't it?

         <p><a href='https://dodgy.test/phish.click'>Bogus information...</a>
      </div>
   </body>
</html>

يجعل المحتوى الرسومي الذي يتصدر نص HTML ويظهر كما لو أن HTML قد أتى بالفعل example.com، بفضل لقطة شاشة شريط العناوين في الأعلى:

تبدو الأداة واضحة إذا عرضت النافذة الزائفة على نظام تشغيل مختلف ، مثل Linux ، لأنك تحصل على نافذة Firefox تشبه Linux مع "نافذة" تشبه Mac بداخلها.

تبرز مكونات "تزيين النوافذ" الزائفة حقًا مثل الصور التي هي عليها حقًا:

هل ستقع في غرامها؟

إذا كنت قد التقطت لقطات شاشة للتطبيقات ، ثم فتحت لقطات الشاشة لاحقًا في عارض الصور ، فنحن على استعداد للمراهنة على أنك خدعت نفسك في مرحلة ما للتعامل مع صورة التطبيق كما لو كانت نسخة قيد التشغيل من التطبيق نفسه.

سنراهن أنك نقرت أو نقرت على صورة تطبيق داخل تطبيق واحدة على الأقل في حياتك ، ووجدت نفسك تتساءل عن سبب عدم عمل التطبيق. (حسنًا ، ربما لم تفعل ، لكننا بالتأكيد لدينا ، إلى حد الارتباك الحقيقي.)

بالطبع ، إذا نقرت على لقطة شاشة للتطبيق داخل مستعرض الصور ، فأنت في خطر ضئيل للغاية ، لأن النقرات أو النقرات ببساطة لن تفعل ما تتوقعه - في الواقع ، قد ينتهي بك الأمر بتحرير أو خربشة خطوط على الصورة في حين أن.

ولكن عندما يتعلق الأمر بـ المتصفح في المتصفح "هجوم العمل الفني" بدلاً من ذلك ، يمكن أن تكون النقرات أو النقرات الموجهة بشكل خاطئ في نافذة محاكاة خطيرة ، لأنك لا تزال في نافذة متصفح نشطة ، حيث يتم تشغيل JavaScript ، وحيث لا تزال الروابط تعمل ...

... أنت لست في نافذة المتصفح كما كنت تعتقد ، ولست على موقع الويب الذي كنت تعتقده أيضًا.

والأسوأ من ذلك ، أن أي JavaScript يتم تشغيله في نافذة المتصفح النشطة (والتي جاءت من موقع المحتال الأصلي الذي قمت بزيارته) يمكنه محاكاة بعض السلوك المتوقع من نافذة منبثقة للمستعرض الأصلي من أجل إضافة الواقعية ، مثل سحبها وتغيير حجمها و أكثر.

كما قلنا في البداية ، إذا كنت تنتظر نافذة منبثقة حقيقية ، وترى شيئًا ما يشبه نافذة منبثقة ، مكتملة بأزرار متصفح واقعية بالإضافة إلى شريط عنوان يطابق ما كنت تتوقعه ، وأنت في عجلة من أمرك ...

... يمكننا أن نفهم تمامًا كيف قد تخطئ في التعرف على النافذة المزيفة باعتبارها نافذة حقيقية.

تم استهداف ألعاب Steam

في المجموعة- IB بحث ذكرنا أعلاه ، هجوم BinB الواقعي الذي جاء به الباحثون استخدم aross ألعاب Steam كإغراء.

سيوفر لك موقع ذو مظهر شرعي ، وإن لم تسمع به من قبل ، فرصة للفوز بأماكن في بطولة ألعاب قادمة ، على سبيل المثال ...

... وعندما قال الموقع إنه كان يظهر نافذة متصفح منفصلة تحتوي على صفحة تسجيل دخول Steam ، فقد قدم بالفعل نافذة زائفة للمتصفح في المتصفح بدلاً من ذلك.

لاحظ الباحثون أن المهاجمين لم يستخدموا خداع BitB فقط للبحث عن أسماء المستخدمين وكلمات المرور ، ولكنهم حاولوا أيضًا محاكاة النوافذ المنبثقة Steam Guard التي تطلب رموز المصادقة ثنائية العوامل أيضًا.

لحسن الحظ ، أظهرت لقطات الشاشة التي قدمتها Group-IB أن المجرمين الذين وقعوا عليهم في هذه الحالة لم يكونوا حذرين للغاية بشأن جوانب الفن والتصميم لخداعهم ، لذلك ربما اكتشف معظم المستخدمين التزوير.

ولكن حتى المستخدم المطلع على عجلة من أمرك ، أو شخص يستخدم متصفحًا أو نظام تشغيل لم يكن على دراية به ، مثل منزل أحد الأصدقاء ، ربما لم يلاحظ عدم الدقة.

أيضًا ، من شبه المؤكد أن المجرمين الأكثر دقة سيخرجون بمحتوى مزيف أكثر واقعية ، بالطريقة نفسها التي لا يرتكب فيها جميع المحتالين بالبريد الإلكتروني أخطاء إملائية في رسائلهم ، مما قد يدفع المزيد من الأشخاص إلى التخلي عن بيانات اعتماد الوصول الخاصة بهم.

ماذا ستفعلين.. إذًا؟

فيما يلي ثلاث نصائح:

• نوافذ المتصفح في المتصفح ليست نوافذ متصفح حقيقية. على الرغم من أنها قد تبدو وكأنها نوافذ على مستوى نظام التشغيل ، إلا أنها لا تتصرف مثل نوافذ نظام التشغيل مع الأزرار والأيقونات التي تبدو مثل الصفقة الحقيقية. يتصرفون مثل صفحات الويب ، لأن هذا ما هم عليه. إذا كنت مشبوهة ، حاول سحب النافذة المشبوهة خارج نافذة المتصفح الرئيسية التي تحتوي عليها. ستعمل نافذة المتصفح الحقيقية بشكل مستقل ، لذا يمكنك نقلها خارج نافذة المتصفح الأصلية وخارجها. سيتم "سجن" نافذة متصفح مزيفة داخل النافذة الحقيقية التي تظهر فيها ، حتى لو استخدم المهاجم JavaScript لمحاولة محاكاة أكبر قدر ممكن من السلوك الحقيقي المظهر. سيعطي هذا بسرعة أنه جزء من صفحة ويب ، وليس نافذة حقيقية في حد ذاته.
• افحص النوافذ المشتبه بها بعناية. من السهل القيام بالسخرية الواقعية من شكل وإحساس نافذة نظام التشغيل داخل صفحة الويب بشكل سيئ ، ولكن من الصعب القيام بذلك بشكل جيد. خذ تلك الثواني القليلة الإضافية للبحث عن علامات منبهة للتزوير وعدم الاتساق.
• إذا كنت في شك ، فلا تعطها. احذر من المواقع التي لم تسمع بها من قبل ، وأنه ليس لديك سبب للثقة ، والتي تريد منك فجأة تسجيل الدخول عبر موقع طرف ثالث.

لا تكن في عجلة من أمرك أبدًا ، لأن قضاء وقتك سيقلل من احتمالية رؤيتك لما تريد اعتقد هل هناك بدلاً من رؤية ما في الواقع is هناك.

بثلاث كلمات: قف. فكر في. الاتصال.

---

صورة مميزة لنافذة التطبيق تحتوي على صورة لماغريت "La Trahison des Images" التي تم إنشاؤها عبر ويكيبيديا.

---