Οι ερευνητές της εταιρείας πληροφοριών απειλών Group-IB μόλις έγραψαν ένα ενδιαφέρον ιστορία πραγματικής ζωής σχετικά με ένα ενοχλητικά απλό αλλά εκπληκτικά αποτελεσματικό κόλπο phishing γνωστό ως BitB, σύντομη για πρόγραμμα περιήγησης στο πρόγραμμα περιήγησης.
Πιθανότατα έχετε ακούσει για διάφορους τύπους επιθέσεων X-in-the-Y στο παρελθόν, κυρίως Μιτ και MitB, σύντομη για χειριστής-στη-μέση και χειριστής-στο-πρόγραμμα περιήγησης.
Σε μια επίθεση MitM, οι εισβολείς που θέλουν να σας εξαπατήσουν τοποθετούνται κάπου «στη μέση» του δικτύου, μεταξύ του υπολογιστή σας και του διακομιστή στον οποίο προσπαθείτε να προσεγγίσετε.
(Μπορεί να μην είναι κυριολεκτικά στη μέση, είτε γεωγραφικά είτε από άποψη hop, αλλά οι επιτιθέμενοι MitM είναι κάπου κατά μήκος η διαδρομή, όχι ακριβώς σε κανένα άκρο.)
Η ιδέα είναι ότι αντί να χρειαστεί να εισβάλετε στον υπολογιστή σας ή στον διακομιστή στο άλλο άκρο, σας παρασύρουν να συνδεθείτε σε αυτούς (ή σκόπιμα χειραγωγούν τη διαδρομή του δικτύου σας, την οποία δεν μπορείτε εύκολα να ελέγξετε μόλις εξέλθουν τα πακέτα σας από ο δικός σας δρομολογητής) και μετά προσποιούνται ότι είναι το άλλο άκρο – ένας κακόβουλος πληρεξούσιος, αν θέλετε.
Περνούν τα πακέτα σας στον επίσημο προορισμό, κατασκοπεύοντάς τα και ίσως τσακώνονται μαζί τους καθ' οδόν, στη συνέχεια λαμβάνουν τις επίσημες απαντήσεις, τις οποίες μπορούν να καταλάβουν και να τσιμπήσουν για δεύτερη φορά, και να σας τα δώσουν πίσω σαν να d συνδέθηκε από άκρο σε άκρο ακριβώς όπως περιμένατε.
Εάν δεν χρησιμοποιείτε κρυπτογράφηση από άκρο σε άκρο όπως το HTTPS για να προστατεύσετε τόσο την εμπιστευτικότητα (χωρίς κατασκοπεία!) όσο και την ακεραιότητα (χωρίς παραβίαση!) της κυκλοφορίας, είναι απίθανο να παρατηρήσετε ή ακόμα και να μπορέσετε να εντοπίστε ότι κάποιος άλλος άνοιξε τα ψηφιακά σας γράμματα κατά τη μεταφορά και στη συνέχεια τα σφράγισε ξανά.
Επίθεση στο ένα άκρο
A MitB Η επίθεση στοχεύει να λειτουργήσει με παρόμοιο τρόπο, αλλά να παρακάμψει το πρόβλημα που προκαλείται από το HTTPS, το οποίο κάνει μια επίθεση MitM πολύ πιο δύσκολη.
Οι εισβολείς MitM δεν μπορούν εύκολα να παρέμβουν στην κίνηση που είναι κρυπτογραφημένη με HTTPS: δεν μπορούν να κατασκοπεύσουν τα δεδομένα σας, επειδή δεν έχουν τα κρυπτογραφικά κλειδιά που χρησιμοποιούνται από κάθε άκρο για την προστασία τους. δεν μπορούν να αλλάξουν τα κρυπτογραφημένα δεδομένα, επειδή η κρυπτογραφική επαλήθευση σε κάθε άκρο θα σήμανε συναγερμό. και δεν μπορούν να προσποιηθούν ότι είναι ο διακομιστής στον οποίο συνδέεστε επειδή δεν έχουν το κρυπτογραφικό μυστικό που χρησιμοποιεί ο διακομιστής για να αποδείξει την ταυτότητά του.
Ως εκ τούτου, μια επίθεση MitB συνήθως βασίζεται σε κρυφό κακόβουλο λογισμικό στον υπολογιστή σας πρώτα.
Αυτό είναι γενικά πιο δύσκολο από την απλή χρήση του δικτύου κάποια στιγμή, αλλά δίνει στους επιτιθέμενους ένα τεράστιο πλεονέκτημα εάν μπορούν να το διαχειριστούν.
Αυτό συμβαίνει επειδή, εάν μπορούν να εισαχθούν απευθείας στο πρόγραμμα περιήγησής σας, μπορούν να δουν και να τροποποιήσουν την κυκλοφορία του δικτύου σας πριν το κρυπτογραφήσει το πρόγραμμα περιήγησής σας για αποστολή, η οποία ακυρώνει οποιαδήποτε εξερχόμενη προστασία HTTPS και αφού το αποκρυπτογραφήσει το πρόγραμμα περιήγησής σας στο δρόμο της επιστροφής, ακυρώνοντας έτσι την κρυπτογράφηση που εφαρμόζει ο διακομιστής για την προστασία των απαντήσεών του.
Τι ισχύει για ένα BitB;
Τι γίνεται όμως με ένα BitB επίθεση?
Browser-in-the-browser είναι αρκετά μπουκιά και το κόλπο που εμπλέκεται δεν δίνει στους εγκληματίες του κυβερνοχώρου τόση δύναμη όσο ένα hack MitM ή MitB, αλλά η ιδέα είναι απίστευτα απλή και αν βιάζεστε πάρα πολύ, είναι εκπληκτικά εύκολο να το πέσει.
Η ιδέα μιας επίθεσης BitB είναι να δημιουργηθεί κάτι που μοιάζει με ένα αναδυόμενο παράθυρο του προγράμματος περιήγησης που δημιουργήθηκε με ασφάλεια από το ίδιο το πρόγραμμα περιήγησης, αλλά στην πραγματικότητα δεν είναι τίποτα περισσότερο από μια ιστοσελίδα που αποδόθηκε σε ένα υπάρχον παράθυρο του προγράμματος περιήγησης.
Ίσως πιστεύετε ότι αυτού του είδους το κόλπο θα ήταν καταδικασμένο να αποτύχει, απλώς και μόνο επειδή οποιοδήποτε περιεχόμενο στον ιστότοπο X που προσποιείται ότι προέρχεται από τον ιστότοπο Y θα εμφανίζεται στο ίδιο το πρόγραμμα περιήγησης ως προερχόμενο από μια διεύθυνση URL στον ιστότοπο X.
Μια ματιά στη γραμμή διευθύνσεων θα καταστήσει προφανές ότι σας λένε ψέματα και ότι ό,τι κι αν κοιτάξετε είναι πιθανώς ένας ιστότοπος phishing.
Για παράδειγμα, εδώ είναι ένα στιγμιότυπο οθόνης του example.com ιστότοπος, που έχει ληφθεί στον Firefox σε Mac:
Εάν οι εισβολείς σας παρέσυραν σε έναν ψεύτικο ιστότοπο, μπορεί να σας αρέσουν τα γραφικά αν αντέγραφαν προσεκτικά το περιεχόμενο, αλλά η γραμμή διευθύνσεων θα έδειχνε ότι δεν ήσασταν στον ιστότοπο που αναζητούσατε.
Επομένως, σε μια απάτη Browser-in-the-Browser, ο στόχος του εισβολέα είναι να δημιουργήσει έναν κανονικό ιστό σελίδα που μοιάζει με τον Ιστό τοποθεσία και περιεχόμενο αναμένετε, με τη διακόσμηση παραθύρων και τη γραμμή διευθύνσεων, προσομοιωμένα όσο πιο ρεαλιστικά γίνεται.
Κατά κάποιο τρόπο, μια επίθεση BitB αφορά περισσότερο την τέχνη παρά την επιστήμη, και έχει να κάνει περισσότερο με το σχεδιασμό ιστοσελίδων και τη διαχείριση των προσδοκιών παρά με το hacking δικτύου.
Για παράδειγμα, αν δημιουργήσουμε δύο αρχεία εικόνας με ξύσμα οθόνης που μοιάζουν με αυτό…
…μετά HTML τόσο απλό όσο αυτό που βλέπετε παρακάτω…
<html>
<body>
<div>
<div><img src='./fake-top.png'></div>
<p>
<div><img src='./fake-bot.png'></div>
</div>
</body>
</html>
…θα δημιουργήσει αυτό που μοιάζει με ένα παράθυρο προγράμματος περιήγησης μέσα σε ένα υπάρχον παράθυρο του προγράμματος περιήγησης, όπως αυτό:
μια ιστοσελίδα που Μοιάζει με παράθυρο προγράμματος περιήγησης.
Σε αυτό το πολύ βασικό παράδειγμα, τα τρία κουμπιά macOS (κλείσιμο, ελαχιστοποίηση, μεγιστοποίηση) επάνω αριστερά δεν θα κάνουν τίποτα, επειδή δεν είναι κουμπιά λειτουργικού συστήματος, είναι απλώς εικόνες κουμπιώνκαι δεν μπορείτε να κάνετε κλικ ή να επεξεργαστείτε τη γραμμή διευθύνσεων σε αυτό που μοιάζει με παράθυρο του Firefox, επειδή είναι επίσης απλά ένα στιγμιότυπο οθόνης.
Αλλά αν τώρα προσθέσουμε ένα IFRAME στο HTML που δείξαμε παραπάνω, για να ρουφήξουμε ψεύτικο περιεχόμενο από έναν ιστότοπο που δεν έχει καμία σχέση με example.com, σαν αυτό…
<html>
<body>
<div>
<div><img src='./fake-top.png' /></div>
<div><iframe src='https:/dodgy.test/phish.html' frameBorder=0 width=650 height=220></iframe></div>
<div><img src='./fake-bot.png' /></div>
</div>
</body>
</html>
…θα πρέπει να παραδεχτείτε ότι το οπτικό περιεχόμενο που προκύπτει φαίνεται ακριβώς όπως ένα αυτόνομο παράθυρο προγράμματος περιήγησης, παρόλο που στην πραγματικότητα είναι α ιστοσελίδα μέσα σε άλλο παράθυρο του προγράμματος περιήγησης.
Το περιεχόμενο κειμένου και ο σύνδεσμος με δυνατότητα κλικ που βλέπετε παρακάτω λήφθηκαν από το dodgy.test Σύνδεσμος HTTPS στο παραπάνω αρχείο HTML, ο οποίος περιείχε αυτόν τον κώδικα HTML:
<html>
<body style='font-family:sans-serif'>
<div style='width:530px;margin:2em;padding:0em 1em 1em 1em;'>
<h1>Example Domain</h1>
<p>This window is a simulacrum of the real website,
but it did not come from the URL shown above.
It looks as though it might have, though, doesn't it?
<p><a href='https://dodgy.test/phish.click'>Bogus information...</a>
</div>
</body>
</html>
Το γραφικό περιεχόμενο που ολοκληρώνεται και συμπληρώνει το κείμενο HTML το κάνει να φαίνεται σαν να προέρχεται πραγματικά το HTML example.com, χάρη στο στιγμιότυπο οθόνης της γραμμής διευθύνσεων στο επάνω μέρος:
Μέσης. Fakery μέσω λήψης IFRAME.
Κάτω μέρος. Η εικόνα κλείνει το ψεύτικο παράθυρο.
Το τεχνητό είναι προφανές εάν προβάλετε το ψεύτικο παράθυρο σε διαφορετικό λειτουργικό σύστημα, όπως το Linux, επειδή λαμβάνετε ένα παράθυρο Firefox που μοιάζει με Linux με ένα "παράθυρο" που μοιάζει με Mac μέσα του.
Τα ψεύτικα εξαρτήματα «επένδυσης παραθύρων» πραγματικά ξεχωρίζουν ως οι εικόνες που είναι πραγματικά:
με τα πραγματικά στοιχεία ελέγχου παραθύρου και τη γραμμή διευθύνσεων στην κορυφή.
Θα σε πέσει;
Εάν έχετε τραβήξει ποτέ στιγμιότυπα οθόνης εφαρμογών και στη συνέχεια ανοίξατε τα στιγμιότυπα οθόνης αργότερα στο πρόγραμμα προβολής φωτογραφιών σας, είμαστε πρόθυμοι να στοιχηματίσουμε ότι κάποια στιγμή εξαπατήσατε τον εαυτό σας ώστε να μεταχειριστείτε την εικόνα της εφαρμογής σαν να ήταν ένα εκτελούμενο αντίγραφο του η ίδια η εφαρμογή.
Θα στοιχηματίσουμε ότι έχετε κάνει κλικ ή πατήσατε σε μια εικόνα εφαρμογής σε μια εφαρμογή τουλάχιστον μία στη ζωή σας και αναρωτηθήκατε γιατί η εφαρμογή δεν λειτουργούσε. (Εντάξει, ίσως δεν το έχετε κάνει, αλλά σίγουρα έχουμε, σε σημείο πραγματικής σύγχυσης.)
Φυσικά, εάν κάνετε κλικ σε ένα στιγμιότυπο οθόνης εφαρμογής μέσα σε ένα πρόγραμμα περιήγησης φωτογραφιών, διατρέχετε πολύ μικρό κίνδυνο, επειδή τα κλικ ή τα χτυπήματα απλά δεν θα κάνουν αυτό που περιμένετε – πράγματι, μπορεί να καταλήξετε να επεξεργαστείτε ή να γράψετε γραμμές στην εικόνα αντι αυτου.
Αλλά όταν πρόκειται για ένα πρόγραμμα περιήγησης στο πρόγραμμα περιήγησης Αντίθετα, η "επίθεση σε έργα τέχνης", τα λανθασμένα κλικ ή τα χτυπήματα σε ένα προσομοιωμένο παράθυρο μπορεί να είναι επικίνδυνα, επειδή βρίσκεστε ακόμα σε ένα ενεργό παράθυρο προγράμματος περιήγησης, όπου η JavaScript παίζει και όπου οι σύνδεσμοι εξακολουθούν να λειτουργούν…
…απλά δεν βρίσκεστε στο παράθυρο του προγράμματος περιήγησης που νομίζατε, ούτε στον ιστότοπο που νομίζατε.
Ακόμη χειρότερα, οποιαδήποτε JavaScript που εκτελείται στο ενεργό παράθυρο του προγράμματος περιήγησης (το οποίο προήλθε από τον αρχικό ιστότοπο απατεώνων που επισκεφτήκατε) μπορεί να προσομοιώσει κάποια από την αναμενόμενη συμπεριφορά ενός γνήσιου αναδυόμενου παραθύρου προγράμματος περιήγησης προκειμένου να προσθέσει ρεαλισμό, όπως μεταφορά, αλλαγή μεγέθους και περισσότερο.
Όπως είπαμε στην αρχή, αν περιμένετε ένα πραγματικό αναδυόμενο παράθυρο και δείτε κάτι που μοιάζει με ένα αναδυόμενο παράθυρο, πλήρες με ρεαλιστικά κουμπιά του προγράμματος περιήγησης συν μια γραμμή διευθύνσεων που ταιριάζει με αυτό που περιμένατε και βιάζεστε λίγο…
…μπορούμε να καταλάβουμε πλήρως πώς μπορεί να παραγνωρίσετε το ψεύτικο παράθυρο ως πραγματικό.
Στοχευμένα παιχνίδια Steam
Στο Group-IB έρευνα αναφέραμε παραπάνω, η πραγματική επίθεση BinB που προέκυψαν οι ερευνητές χρησιμοποίησε τα Steam Games ως δέλεαρ.
Ένας ιστότοπος με νόμιμη εμφάνιση, αν και δεν είχατε ακούσει ποτέ πριν, θα σας πρόσφερε την ευκαιρία να κερδίσετε θέσεις σε ένα επερχόμενο τουρνουά gaming, για παράδειγμα…
…και όταν ο ιστότοπος είπε ότι εμφανιζόταν ένα ξεχωριστό παράθυρο του προγράμματος περιήγησης που περιείχε μια σελίδα σύνδεσης στο Steam, παρουσίασε πραγματικά ένα ψεύτικο παράθυρο του προγράμματος περιήγησης στο πρόγραμμα περιήγησης.
Οι ερευνητές σημείωσαν ότι οι εισβολείς δεν χρησιμοποίησαν απλώς κόλπα BitB για να αναζητήσουν ονόματα χρήστη και κωδικούς πρόσβασης, αλλά προσπάθησαν επίσης να προσομοιώσουν τα αναδυόμενα παράθυρα του Steam Guard που ζητούσαν κωδικούς ελέγχου ταυτότητας δύο παραγόντων.
Ευτυχώς, τα στιγμιότυπα οθόνης που παρουσίασε το Group-IB έδειξαν ότι οι εγκληματίες με τους οποίους συνέβησαν σε αυτήν την περίπτωση δεν ήταν τρομερά προσεκτικοί σχετικά με τις πτυχές τέχνης και σχεδίασης της απάτης τους, οπότε οι περισσότεροι χρήστες πιθανώς εντόπισαν το πλαστό.
Αλλά ακόμη και ένας καλά ενημερωμένος χρήστης που βιάζεται ή κάποιος που χρησιμοποιεί ένα πρόγραμμα περιήγησης ή λειτουργικό σύστημα με το οποίο δεν ήταν εξοικειωμένο, όπως στο σπίτι ενός φίλου, μπορεί να μην είχε παρατηρήσει τις ανακρίβειες.
Επίσης, οι πιο απαιτητικοί εγκληματίες θα έβρισκαν σχεδόν σίγουρα πιο ρεαλιστικό ψεύτικο περιεχόμενο, με τον ίδιο τρόπο που δεν κάνουν όλοι οι απατεώνες email στα μηνύματά τους ορθογραφικά λάθη, οδηγώντας έτσι δυνητικά περισσότερους ανθρώπους να δώσουν τα διαπιστευτήρια πρόσβασής τους.
Τι να κάνω;
Ακολουθούν τρεις συμβουλές:
- Τα παράθυρα του προγράμματος περιήγησης στο πρόγραμμα περιήγησης δεν είναι πραγματικά παράθυρα του προγράμματος περιήγησης. Αν και μπορεί να φαίνονται σαν παράθυρα σε επίπεδο λειτουργικού συστήματος, με κουμπιά και εικονίδια που μοιάζουν με την πραγματική συμφωνία, δεν συμπεριφέρονται σαν παράθυρα λειτουργικού συστήματος. Συμπεριφέρονται σαν ιστοσελίδες, γιατί έτσι είναι. Αν είσαι ύποπτος, δοκιμάστε να σύρετε το ύποπτο παράθυρο έξω από το κύριο παράθυρο του προγράμματος περιήγησης που το περιέχει. Ένα πραγματικό παράθυρο του προγράμματος περιήγησης θα συμπεριφέρεται ανεξάρτητα, ώστε να μπορείτε να το μετακινήσετε έξω και πέρα από το αρχικό παράθυρο του προγράμματος περιήγησης. Ένα ψεύτικο παράθυρο του προγράμματος περιήγησης θα «φυλακιστεί» μέσα στο πραγματικό παράθυρο στο οποίο εμφανίζεται, ακόμα κι αν ο εισβολέας έχει χρησιμοποιήσει JavaScript για να προσπαθήσει να προσομοιώσει όσο το δυνατόν περισσότερη συμπεριφορά με γνήσια εμφάνιση. Αυτό θα δείξει γρήγορα ότι είναι μέρος μιας ιστοσελίδας, όχι ένα πραγματικό παράθυρο από μόνο του.
- Εξετάστε προσεκτικά τα ύποπτα παράθυρα. Το να κοροϊδεύεις ρεαλιστικά την εμφάνιση και την αίσθηση ενός παραθύρου λειτουργικού συστήματος μέσα σε μια ιστοσελίδα είναι εύκολο να το κάνεις άσχημα, αλλά δύσκολο να το κάνεις καλά. Αφιερώστε αυτά τα επιπλέον λίγα δευτερόλεπτα για να αναζητήσετε ενδεικτικά σημάδια παραποίησης και ασυνέπειας.
- Εάν έχετε αμφιβολίες, μην το δώσετε. Να είστε καχύποπτοι για ιστότοπους που δεν έχετε ακούσει ποτέ και που δεν έχετε κανένα λόγο να εμπιστεύεστε, που ξαφνικά θέλουν να συνδεθείτε μέσω ιστότοπου τρίτου μέρους.
Ποτέ μην βιάζεστε, γιατί αφιερώνοντας το χρόνο σας θα έχετε πολύ λιγότερες πιθανότητες να δείτε αυτό που βλέπετε νομίζω υπάρχει αντί για αυτό που βλέπει τι πραγματικά is . υπάρχει
Με τρεις λέξεις: Να σταματήσει. Νομίζω. Συνδέω-συωδεομαι.
Επιλεγμένη εικόνα της φωτογραφίας του παραθύρου της εφαρμογής που περιέχει την εικόνα της φωτογραφίας του "La Trahison des Images" του Magritte που δημιουργήθηκε μέσω Wikipedia.
- BitB
- blockchain
- Coingenius
- πορτοφόλια κρυπτογράφησης
- κρυπτο -ανταλλαγή
- κυβερνασφάλεια
- εγκληματίες του κυβερνοχώρου
- Κυβερνασφάλεια
- Απώλεια δεδομένων
- Υπουργείο Εσωτερικής Ασφάλειας
- ψηφιακά πορτοφόλια
- firewall
- Kaspersky
- malware
- Mcafee
- MitB
- MITM
- Γυμνή ασφάλεια
- Nexbloc
- Phishing
- Πλάτων
- πλάτων αι
- Πληροφορία δεδομένων Plato
- Παιχνίδι Πλάτωνας
- Πλάτωνα δεδομένα
- platogaming
- Απάτη
- VPN
- ιστοσελίδα της ασφάλειας
- zephyrnet
