Forscher des Threat-Intelligence-Unternehmens Group-IB haben gerade einen faszinierenden Artikel geschrieben Geschichte aus dem wirklichen Leben über einen ärgerlich einfachen, aber überraschend effektiven Phishing-Trick, der als bekannt ist BitB, kurz für Browser-im-Browser.
Sie haben wahrscheinlich schon von mehreren Arten von X-in-the-Y-Angriffen gehört, insbesondere MitM und MitB, kurz für Manipulator-in-der-Mitte und manipulator-im-browser.
Bei einem MitM-Angriff positionieren sich die Angreifer, die Sie austricksen wollen, irgendwo „in der Mitte“ des Netzwerks, zwischen Ihrem Computer und dem Server, den Sie erreichen möchten.
(Sie sind vielleicht nicht buchstäblich in der Mitte, weder geografisch noch sprunghaft, aber MitM-Angreifer sind irgendwo entlang der Route, an beiden Enden nicht richtig.)
Die Idee ist, dass sie, anstatt in Ihren Computer oder in den Server am anderen Ende einzubrechen, Sie dazu verleiten, sich stattdessen mit ihnen zu verbinden (oder Ihren Netzwerkpfad absichtlich manipulieren, den Sie nicht einfach kontrollieren können, sobald Ihre Pakete austreten Ihren eigenen Router), und dann geben sie vor, das andere Ende zu sein – ein bösartiger Proxy, wenn Sie so wollen.
Sie leiten Ihre Pakete an das offizielle Ziel weiter, schnüffeln an ihnen herum und spielen unterwegs vielleicht mit ihnen herum, erhalten dann die offiziellen Antworten, die sie ein zweites Mal ausschnüffeln und optimieren können, und leiten sie an Sie zurück, als ob Sie ' d Ende-zu-Ende verbunden, genau wie Sie es erwartet haben.
Wenn Sie keine End-to-End-Verschlüsselung wie HTTPS verwenden, um sowohl die Vertraulichkeit (kein Snooping!) als auch die Integrität (keine Manipulation!) des Datenverkehrs zu schützen, werden Sie es wahrscheinlich nicht bemerken oder auch nur in der Lage sein erkennen, dass jemand anderes Ihre digitalen Briefe während des Transports mit Dampf geöffnet und anschließend wieder versiegelt hat.
Angriff an einem Ende
A MitB Der Angriff zielt darauf ab, auf ähnliche Weise zu funktionieren, aber das durch HTTPS verursachte Problem zu umgehen, das einen MitM-Angriff viel schwieriger macht.
MitM-Angreifer können den mit HTTPS verschlüsselten Datenverkehr nicht ohne weiteres stören: Sie können Ihre Daten nicht ausspionieren, da sie nicht über die kryptografischen Schlüssel verfügen, die von beiden Seiten zu ihrem Schutz verwendet werden. sie können die verschlüsselten Daten nicht verändern, weil die kryptographische Überprüfung an jedem Ende dann Alarm schlagen würde; und sie können nicht vorgeben, der Server zu sein, mit dem Sie sich verbinden, da sie nicht über das kryptografische Geheimnis verfügen, das der Server verwendet, um seine Identität nachzuweisen.
Ein MitB-Angriff beruht daher normalerweise darauf, zuerst Malware auf Ihren Computer zu schleichen.
Das ist im Allgemeinen schwieriger, als einfach irgendwann das Netzwerk anzuzapfen, aber es verschafft den Angreifern einen großen Vorteil, wenn sie es schaffen.
Das liegt daran, dass sie, wenn sie sich direkt in Ihren Browser einfügen können, Ihren Netzwerkverkehr sehen und ändern können bevor Ihr Browser es verschlüsselt zum Senden, wodurch jeglicher ausgehende HTTPS-Schutz aufgehoben wird, und nachdem Ihr Browser es entschlüsselt hat auf dem Rückweg, wodurch die Verschlüsselung aufgehoben wird, die der Server zum Schutz seiner Antworten anwendet.
Was ist mit einem BitB?
Aber was ist mit a BitB Attacke?
Browser im Browser ist ein ziemlicher Bissen, und die damit verbundenen Tricks verleihen Cyberkriminellen nicht annähernd so viel Macht wie ein MitM- oder MitB-Hack, aber das Konzept ist denkbar einfach, und wenn Sie es zu eilig haben, ist es überraschend leicht darauf reinfallen.
Die Idee eines BitB-Angriffs besteht darin, etwas zu erstellen, das wie ein Popup-Browserfenster aussieht, das sicher vom Browser selbst generiert wurde, aber eigentlich nichts anderes als eine Webseite ist, die in einem vorhandenen Browserfenster gerendert wurde.
Sie könnten denken, dass diese Art von Trickserei zum Scheitern verurteilt wäre, einfach weil jeder Inhalt auf Website X, der vorgibt, von Website Y zu stammen, im Browser selbst als von einer URL auf Website X stammend angezeigt wird.
Ein Blick auf die Adressleiste macht deutlich, dass Sie belogen werden und dass es sich wahrscheinlich um eine Phishing-Site handelt.
Feind Beispiel, hier ist ein Screenshot der example.com Website, aufgenommen in Firefox auf einem Mac:
Wenn Angreifer Sie auf eine gefälschte Website gelockt haben, könnten Sie auf die visuelle Darstellung hereinfallen, wenn sie den Inhalt genau kopieren, aber die Adressleiste würde verraten, dass Sie sich nicht auf der gesuchten Website befinden.
Bei einem Browser-in-the-Browser-Betrug ist es daher das Ziel des Angreifers, ein reguläres Web zu erstellen Seite das sieht aus wie das Web Website und Inhalt Sie erwarten, komplett mit den Fensterdekorationen und der Adressleiste, so realistisch wie möglich simuliert.
In gewisser Weise geht es bei einem BitB-Angriff mehr um Kunst als um Wissenschaft, und es geht mehr um Webdesign und das Management von Erwartungen als um Netzwerk-Hacking.
Wenn wir zum Beispiel zwei Screen-Scraping-Bilddateien erstellen, die so aussehen …
… dann HTML so einfach wie das, was Sie unten sehen …
<html>
<body>
<div>
<div><img src='./fake-top.png'></div>
<p>
<div><img src='./fake-bot.png'></div>
</div>
</body>
</html>
… erstellt etwas, das wie ein Browserfenster in einem bestehenden Browserfenster aussieht, wie folgt:
eine Webseite, die WIE ein Browserfenster AUSSIEHT.
In diesem sehr einfachen Beispiel machen die drei macOS-Schaltflächen (Schließen, Minimieren, Maximieren) oben links nichts, da sie keine Betriebssystemschaltflächen sind, sondern nur Bilder von Knöpfen, und die Adressleiste in einem Firefox-Fenster kann nicht angeklickt oder bearbeitet werden, weil es das auch ist nur ein Screenshot.
Aber wenn wir jetzt einen IFRAME in den oben gezeigten HTML-Code einfügen, um gefälschte Inhalte von einer Site einzusaugen, die nichts damit zu tun hat example.com, so was…
<html>
<body>
<div>
<div><img src='./fake-top.png' /></div>
<div><iframe src='https:/dodgy.test/phish.html' frameBorder=0 width=650 height=220></iframe></div>
<div><img src='./fake-bot.png' /></div>
</div>
</body>
</html>
…müssen Sie zugeben, dass die resultierenden visuellen Inhalte aussehen genau wie ein eigenständiges Browserfenster, obwohl es eigentlich ein Webseite in einem anderen Browserfenster.
Der Textinhalt und der anklickbare Link, den Sie unten sehen, wurden von heruntergeladen dodgy.test HTTPS-Link in der obigen HTML-Datei, die diesen HTML-Code enthielt:
<html>
<body style='font-family:sans-serif'>
<div style='width:530px;margin:2em;padding:0em 1em 1em 1em;'>
<h1>Example Domain</h1>
<p>This window is a simulacrum of the real website,
but it did not come from the URL shown above.
It looks as though it might have, though, doesn't it?
<p><a href='https://dodgy.test/phish.click'>Bogus information...</a>
</div>
</body>
</html>
Der grafische Inhalt über und unter dem HTML-Text lässt es so aussehen, als käme der HTML-Text wirklich her example.com, dank des Screenshots der Adressleiste oben:
Mitte. Fälschung per IFRAME-Download.
Unterseite. Bild rundet das gefälschte Fenster ab.
Der Kunstgriff ist offensichtlich, wenn Sie das gefälschte Fenster auf einem anderen Betriebssystem wie Linux anzeigen, da Sie ein Linux-ähnliches Firefox-Fenster mit einem Mac-ähnlichen „Fenster“ darin erhalten.
Die gefälschten „Schaufensterdekorations“-Komponenten heben sich wirklich von den Bildern ab, die sie wirklich sind:
mit den eigentlichen Fenstersteuerelementen und der Adressleiste ganz oben.
Würdest du darauf hereinfallen?
Wenn Sie jemals Screenshots von Apps gemacht und die Screenshots später in Ihrem Fotobetrachter geöffnet haben, sind wir bereit zu wetten, dass Sie sich irgendwann dazu verleitet haben, das Bild der App so zu behandeln, als wäre es eine laufende Kopie der App selbst.
Wir wetten, dass Sie mindestens einmal in Ihrem Leben auf ein App-in-App-Bild geklickt oder getippt haben und sich gefragt haben, warum die App nicht funktioniert hat. (OK, vielleicht haben Sie das nicht, aber wir haben es auf jeden Fall, bis zu dem Punkt echter Verwirrung.)
Wenn Sie in einem Fotobrowser auf einen App-Screenshot klicken, gehen Sie natürlich nur ein sehr geringes Risiko ein, da die Klicks oder Taps einfach nicht das tun, was Sie erwarten – tatsächlich können Sie am Ende sogar Linien auf dem Bild bearbeiten oder kritzeln stattdessen.
Aber wenn es um a geht Browser-im-Browser „Artwork Attack“ stattdessen können fehlgeleitete Klicks oder Taps in einem simulierten Fenster gefährlich sein, weil Sie sich immer noch in einem aktiven Browserfenster befinden, in dem JavaScript im Spiel ist und wo Links noch funktionieren …
…Sie befinden sich einfach nicht in dem Browserfenster, das Sie dachten, und Sie befinden sich auch nicht auf der Website, die Sie dachten.
Schlimmer noch, jedes JavaScript, das im aktiven Browserfenster ausgeführt wird (das von der ursprünglich von Ihnen besuchten betrügerischen Website stammt), kann einige der erwarteten Verhaltensweisen eines echten Browser-Popup-Fensters simulieren, um Realismus hinzuzufügen, z. B. Ziehen, Ändern der Größe und mehr.
Wie wir zu Beginn gesagt haben, wenn Sie auf ein echtes Popup-Fenster warten und etwas sehen sieht aus wie Ein Popup-Fenster mit realistischen Browser-Schaltflächen und einer Adressleiste, die Ihren Erwartungen entspricht, und Sie haben es etwas eilig …
… wir können vollkommen verstehen, wie Sie das gefälschte Fenster möglicherweise fälschlicherweise als echtes Fenster erkennen.
Steam-Spiele gezielt
In der Gruppe-IB Forschungsprojekte Wie oben erwähnt, benutzte der reale BinB-Angriff, auf den die Forscher stießen, Steam Games als Köder.
Eine seriös aussehende Website, von der Sie noch nie zuvor gehört haben, bietet Ihnen beispielsweise die Chance, Plätze bei einem bevorstehenden Gaming-Turnier zu gewinnen …
…und als die Seite sagte, dass sie ein separates Browserfenster mit einer Steam-Anmeldeseite öffnen würde, präsentierte sie stattdessen wirklich ein falsches Browser-im-Browser-Fenster.
Die Forscher stellten fest, dass die Angreifer nicht nur BitB-Tricks benutzten, um nach Benutzernamen und Passwörtern zu suchen, sondern auch versuchten, Steam Guard-Popups zu simulieren, die auch nach Zwei-Faktor-Authentifizierungscodes fragten.
Glücklicherweise zeigten die von Group-IB präsentierten Screenshots, dass die Kriminellen, denen sie in diesem Fall begegneten, nicht besonders vorsichtig mit den künstlerischen und gestalterischen Aspekten ihrer Betrügereien waren, sodass die meisten Benutzer die Fälschung wahrscheinlich entdeckten.
Aber selbst ein gut informierter Benutzer, der es eilig hat, oder jemand, der einen Browser oder ein Betriebssystem verwendet, mit dem er nicht vertraut ist, wie beispielsweise bei einem Freund, hat die Ungenauigkeiten möglicherweise nicht bemerkt.
Außerdem würden sich anspruchsvollere Kriminelle mit ziemlicher Sicherheit realistischere gefälschte Inhalte einfallen lassen, ebenso wie nicht alle E-Mail-Betrüger Rechtschreibfehler in ihren Nachrichten machen, was möglicherweise dazu führt, dass mehr Menschen ihre Zugangsdaten preisgeben.
Was ist zu tun?
Hier drei Tipps:
- Browser-in-the-Browser-Fenster sind keine echten Browserfenster. Obwohl sie wie Fenster auf Betriebssystemebene erscheinen mögen, mit Schaltflächen und Symbolen, die genauso aussehen wie das echte Geschäft, verhalten sie sich nicht wie Betriebssystemfenster. Sie verhalten sich wie Webseiten, denn das sind sie. Wenn Sie misstrauisch sind, Versuchen Sie, das verdächtige Fenster aus dem Hauptfenster des Browsers zu ziehen, in dem es sich befindet. Ein echtes Browserfenster verhält sich unabhängig, sodass Sie es außerhalb und über das ursprüngliche Browserfenster hinaus verschieben können. Ein gefälschtes Browserfenster wird in dem echten Fenster, in dem es angezeigt wird, „eingesperrt“, selbst wenn der Angreifer JavaScript verwendet hat, um zu versuchen, so viel echt aussehendes Verhalten wie möglich zu simulieren. Dies verrät schnell, dass es sich um einen Teil einer Webseite und nicht um ein eigenständiges Fenster handelt.
- Untersuchen Sie verdächtige Fenster sorgfältig. Das Aussehen und Verhalten eines Betriebssystemfensters innerhalb einer Webseite realistisch nachzuahmen, ist leicht schlecht, aber schwer gut zu machen. Nehmen Sie sich diese zusätzlichen Sekunden, um nach verräterischen Anzeichen von Fälschung und Inkonsistenz zu suchen.
- Im Zweifelsfall nicht herausgeben. Seien Sie misstrauisch gegenüber Websites, von denen Sie noch nie gehört haben und denen Sie keinen Grund haben zu vertrauen, die plötzlich möchten, dass Sie sich über eine Website eines Drittanbieters anmelden.
Seien Sie niemals in Eile, denn wenn Sie sich Zeit nehmen, werden Sie viel weniger wahrscheinlich sehen, was Sie sehen think ist da statt was eigentlich was zu sehen is gibt.
In drei Worten: Halt. Überlegen. Anschließen.
Ausgewähltes Bild des Fotos des App-Fensters mit dem Bild des Fotos von Magrittes „La Trahison des Images“, erstellt über Wikipedia .
- BitB
- Blockchain
- Einfallsreichtum
- Cryptocurrency Brieftaschen
- Kryptoaustausch
- Internet-Sicherheit
- Cyber-Kriminelle
- Internet-Sicherheit
- Data Loss
- Heimatschutzministerium
- digitale Brieftaschen
- Firewall
- Kaspersky
- Malware
- McAfee
- MitB
- MITM
- Nackte Sicherheit
- NexBLOC
- Phishing
- Plato
- platon ai
- Datenintelligenz von Plato
- Plato-Spiel
- PlatoData
- Platogaming
- Betrug
- VPN
- Website-Sicherheit
- Zephyrnet
