Forskere hos trusselsefterretningsfirmaet Group-IB skrev netop et spændende historie fra det virkelige liv om et irriterende simpelt, men overraskende effektivt phishing-trick kendt som BitB, forkortelse for browser-i-browseren.
Du har sikkert hørt om flere typer X-in-the-Y-angreb før, især MitM , MitB, forkortelse for manipulator-i-midten , manipulator-i-browseren.
I et MitM-angreb placerer angriberne, der ønsker at snyde dig, sig et sted "midt" på netværket, mellem din computer og den server, du forsøger at nå.
(De er måske ikke bogstaveligt talt i midten, hverken geografisk eller humlemæssigt, men MitM-angribere er et eller andet sted sammen ruten, ikke lige i nogen ende.)
Ideen er, at i stedet for at skulle bryde ind på din computer eller ind på serveren i den anden ende, lokker de dig til at oprette forbindelse til dem i stedet for (eller bevidst manipulerer din netværkssti, som du ikke nemt kan kontrollere, når først dine pakker afsluttes fra din egen router), og så foregiver de at være den anden ende – en ondsindet proxy, hvis du vil.
De sender dine pakker videre til den officielle destination, snuser efter dem og piller måske ved dem undervejs, og modtager derefter de officielle svar, som de kan snuse efter og justere for anden gang, og sende dem tilbage til dig, som om du' d tilsluttet ende-til-ende lige som du forventede.
Hvis du ikke bruger ende-til-ende-kryptering såsom HTTPS for at beskytte både fortroligheden (ingen snoking!) og integriteten (ingen manipulation!) af trafikken, er det usandsynligt, at du lægger mærke til det eller endda vil være i stand til at opdage, at en anden har åbnet dine digitale breve under forsendelse, og derefter forsegle dem igen bagefter.
Angriber i den ene ende
A MitB angreb har til formål at fungere på en lignende måde, men at omgå problemet forårsaget af HTTPS, hvilket gør et MitM-angreb meget sværere.
MitM-angribere kan ikke uden videre forstyrre trafik, der er krypteret med HTTPS: de kan ikke snoge på dine data, fordi de ikke har de kryptografiske nøgler, der bruges af hver ende til at beskytte dem; de kan ikke ændre de krypterede data, fordi den kryptografiske verifikation i hver ende så ville slå alarm; og de kan ikke foregive at være den server, du opretter forbindelse til, fordi de ikke har den kryptografiske hemmelighed, som serveren bruger til at bevise sin identitet.
Et MitB-angreb er derfor typisk afhængig af at snige malware ind på din computer først.
Det er generelt sværere end blot at trykke på netværket på et tidspunkt, men det giver angriberne en kæmpe fordel, hvis de kan klare det.
Det er fordi, hvis de kan indsætte sig selv lige i din browser, kan de se og ændre din netværkstrafik før din browser krypterer den til afsendelse, som annullerer enhver udgående HTTPS-beskyttelse, og efter din browser dekrypterer den på vej tilbage og dermed annullere den kryptering, som serveren anvender for at beskytte sine svar.
Hvad med en BitB?
Men hvad med en BitB angreb?
Browser-i-browseren er noget af en mundfuld, og det involverede trick giver ikke cyberkriminelle nær så meget magt som et MitM eller et MitB-hack, men konceptet er pandeklappende enkelt, og hvis du har for travlt, er det overraskende nok let at falde for det.
Ideen med et BitB-angreb er at skabe, hvad der ligner et popup-browservindue, der blev genereret sikkert af browseren selv, men det er faktisk ikke andet end en webside, der blev gengivet i et eksisterende browservindue.
Du tror måske, at denne form for tricks ville være dømt til at mislykkes, simpelthen fordi alt indhold på site X, der foregiver at være fra site Y, vil dukke op i selve browseren som kommer fra en URL på site X.
Et blik på adresselinjen vil gøre det indlysende, at du bliver løjet for, og at uanset hvad du kigger på, sandsynligvis er et phishing-sted.
Fjende eksempel, her er et skærmbillede af example.com websted, taget i Firefox på en Mac:
Hvis angribere lokkede dig til et falsk websted, kan du falde for det visuelle, hvis de kopierede indholdet tæt, men adresselinjen ville give væk, at du ikke var på det websted, du ledte efter.
I en Browser-in-the-Browser-svindel er angriberens mål derfor at skabe et almindeligt web side der ligner nettet websted og indhold du forventer, komplet med vinduesdekorationer og adresselinjen, simuleret så realistisk som muligt.
På en måde handler et BitB-angreb mere om kunst, end det handler om videnskab, og det handler mere om webdesign og styring af forventninger, end det handler om netværkshacking.
For eksempel, hvis vi opretter to skærmskrabede billedfiler, der ser sådan ud...
…så HTML så simpelt som det du ser nedenfor…
<html>
<body>
<div>
<div><img src='./fake-top.png'></div>
<p>
<div><img src='./fake-bot.png'></div>
</div>
</body>
</html>
... vil skabe, hvad der ligner et browservindue inde i et eksisterende browservindue, sådan her:
en webside, der LIGNER et browservindue.
I dette meget grundlæggende eksempel vil de tre macOS-knapper (luk, minimer, maksimer) øverst til venstre ikke gøre noget, fordi de ikke er operativsystemknapper, de er bare billeder af knapper, og adresselinjen i, hvad der ligner et Firefox-vindue, kan ikke klikkes ind eller redigeres, fordi det også er bare et skærmbillede.
Men hvis vi nu tilføjer en IFRAME i den HTML, vi viste ovenfor, for at suge falsk indhold ind fra et websted, der ikke har noget at gøre med example.com, sådan her…
<html>
<body>
<div>
<div><img src='./fake-top.png' /></div>
<div><iframe src='https:/dodgy.test/phish.html' frameBorder=0 width=650 height=220></iframe></div>
<div><img src='./fake-bot.png' /></div>
</div>
</body>
</html>
… du må indrømme, at det resulterende visuelle indhold ser ud præcis som et selvstændigt browservindue, selvom det faktisk er en webside inde i et andet browservindue.
Tekstindholdet og det klikbare link, du ser nedenfor, blev downloadet fra dodgy.test HTTPS-link i HTML-filen ovenfor, som indeholdt denne HTML-kode:
<html>
<body style='font-family:sans-serif'>
<div style='width:530px;margin:2em;padding:0em 1em 1em 1em;'>
<h1>Example Domain</h1>
<p>This window is a simulacrum of the real website,
but it did not come from the URL shown above.
It looks as though it might have, though, doesn't it?
<p><a href='https://dodgy.test/phish.click'>Bogus information...</a>
</div>
</body>
</html>
Det grafiske indhold, der topper og efterlader HTML-teksten, får det til at se ud, som om HTML-koden virkelig kom fra example.com, takket være skærmbilledet af adresselinjen øverst:
Midten. Forfalskning via IFRAME download.
Bund. Billedet runder det falske vindue af.
Kunsten er indlysende, hvis du ser det falske vindue på et andet operativsystem, såsom Linux, fordi du får et Linux-lignende Firefox-vindue med et Mac-lignende "vindue" indeni.
De falske "window dressing"-komponenter skiller sig virkelig ud som de billeder, de virkelig er:
med selve vindueskontrollerne og adresselinjen helt øverst.
Ville du falde for det?
Hvis du nogensinde har taget skærmbilleder af apps og derefter åbnet skærmbillederne senere i din billedfremviser, er vi villige til at vædde på, at du på et tidspunkt har narret dig selv til at behandle appens billede, som om det var en kørende kopi af selve appen.
Vi vil vædde på, at du har klikket på eller trykket på et app-i-en-app-billede mindst ét i dit liv, og du undrede dig over, hvorfor appen ikke virkede. (OK, det har du måske ikke, men det har vi bestemt, til det punkt, hvor der er ægte forvirring.)
Selvfølgelig, hvis du klikker på et app-skærmbillede inde i en fotobrowser, er du i meget lille risiko, fordi klikkene eller tryk simpelthen ikke vil gøre, hvad du forventer - ja, du kan ende med at redigere eller skrive linjer på billedet i stedet.
Men når det kommer til en browser-i-browseren "kunstværksangreb" kan i stedet for forkerte klik eller tryk i et simuleret vindue være farligt, fordi du stadig er i et aktivt browservindue, hvor JavaScript er i spil, og hvor links stadig fungerer...
…du er bare ikke i det browservindue, du troede, og du er heller ikke på den hjemmeside, du troede.
Endnu værre er, at enhver JavaScript, der kører i det aktive browservindue (som kom fra det oprindelige bedragerwebsted, du besøgte) kan simulere noget af den forventede adfærd af et ægte browser-popup-vindue for at tilføje realisme, såsom at trække det, ændre størrelsen på det og mere.
Som vi sagde i starten, hvis du venter på et rigtigt popup-vindue, og du ser noget, der at det ser ud som om et pop op-vindue, komplet med realistiske browserknapper plus en adresselinje, der matcher det, du havde forventet, og du har lidt travlt...
…vi kan fuldt ud forstå, hvordan du kan fejlkende det falske vindue som et rigtigt.
Steam-spil målrettet
I Group-IB forskning vi nævnte ovenfor, brugte det virkelige BinB-angreb, som forskerne stødte på, Steam Games som et lokkemiddel.
Et lovligt udseende site, omend et du aldrig havde hørt om før, ville give dig en chance for at vinde pladser ved en kommende spilturnering, for eksempel...
…og da webstedet sagde, at det dukkede et separat browservindue op, der indeholdt en Steam-loginside, præsenterede det virkelig et falsk browser-i-browservindue i stedet.
Forskerne bemærkede, at angriberne ikke kun brugte BitB-trickeri til at gå efter brugernavne og adgangskoder, men også forsøgte at simulere Steam Guard-popups, der bad om to-faktor-godkendelseskoder.
Heldigvis viste skærmbillederne præsenteret af Group-IB, at de kriminelle, de stødte på i denne sag, ikke var særlig forsigtige med kunst- og designaspekterne af deres svindel, så de fleste brugere har sandsynligvis opdaget forfalskningen.
Men selv en velinformeret bruger, der har travlt, eller nogen, der bruger en browser eller et operativsystem, de ikke var bekendt med, f.eks. hjemme hos en ven, har måske ikke bemærket unøjagtighederne.
Også mere kræsne kriminelle ville næsten helt sikkert komme med mere realistisk falsk indhold, på samme måde som ikke alle e-mail-svindlere laver stavefejl i deres beskeder, og dermed potentielt få flere mennesker til at give deres adgangsoplysninger væk.
Hvad skal jeg gøre?
Her er tre tips:
- Browser-in-the-Browser-vinduer er ikke rigtige browservinduer. Selvom de kan virke som vinduer på operativsystemniveau, med knapper og ikoner, der ligner den virkelige vare, opfører de sig ikke som operativsystemvinduer. De opfører sig som websider, for det er, hvad de er. Hvis du er mistænksom, prøv at trække det mistænkelige vindue uden for hovedbrowservinduet, der indeholder det. Et rigtigt browservindue vil opføre sig uafhængigt, så du kan flytte det uden for og ud over det originale browservindue. Et falsk browservindue vil blive "fængslet" inde i det rigtige vindue, det er vist i, selvom angriberen har brugt JavaScript til at forsøge at simulere så meget ægte adfærd som muligt. Dette vil hurtigt give væk, at det er en del af en webside, ikke et ægte vindue i sig selv.
- Undersøg mistænkelige vinduer omhyggeligt. Realistisk at håne udseendet og følelsen af et operativsystemvindue inde i en webside er let at gøre dårligt, men svært at gøre det godt. Brug de ekstra få sekunder på at se efter afslørende tegn på falskneri og inkonsekvens.
- Hvis du er i tvivl, så giv det ikke ud. Vær mistænksom over for sider, du aldrig har hørt om, og som du ikke har nogen grund til at stole på, som pludselig vil have dig til at logge ind via en tredjepartsside.
Hav aldrig travlt, for hvis du tager dig tid, vil det gøre dig meget mindre tilbøjelig til at se, hvad du tror er der i stedet for hvad der ser hvad faktisk is der.
Med tre ord: Hold op. Tænke. Opret forbindelse.
Fremhævet billede af foto af appvindue indeholdende billede af foto af Magrittes "La Trahison des Images" oprettet via Wikipedia.
- BitB
- blockchain
- coingenius
- cryptocurrency tegnebøger
- kryptoverveksling
- cybersikkerhed
- cyberkriminelle
- Cybersecurity
- datatab
- afdeling for indenrigssikkerhed
- digitale tegnebøger
- firewall
- Kaspersky
- malware
- Mcafee
- MitB
- MITM
- Naked Security
- Nexbloc
- Phishing
- plato
- platon ai
- Platon Data Intelligence
- Platon spil
- PlatoData
- platogaming
- Fup
- VPN
- website sikkerhed
- zephyrnet
