امنیت جدی: حملات مرورگر در مرورگر - مراقب ویندوزهایی باشید که نیستند! هوش داده PlatoBlockchain. جستجوی عمودی Ai.

امنیت جدی: حملات مرورگر در مرورگر - مراقب ویندوزهایی باشید که نیستند!

تمبر زمان: 13 سپتامبر 2022، 4:52 بعد از ظهر

by
پل داکلین

محققان شرکت اطلاعاتی تهدیدات Group-IB به تازگی مطلبی جالب نوشتند داستان زندگی واقعی در مورد یک ترفند آزاردهنده ساده اما شگفت آور موثر فیشینگ به نام بیت بی، کوتاه برای مرورگر در مرورگر.

احتمالاً قبلاً در مورد چندین نوع حمله X-in-the-Y شنیده اید MitM و MitB، کوتاه برای دستکاری کننده در وسط و دستکاری کننده در مرورگر.

در حمله MitM، مهاجمانی که می‌خواهند شما را فریب دهند، خود را در جایی «در وسط» شبکه، بین رایانه‌تان و سروری که می‌خواهید به آن دسترسی پیدا کنید، قرار می‌دهند.

(آنها ممکن است به معنای واقعی کلمه در وسط نباشند، چه از نظر جغرافیایی و چه از نظر جهشی، اما مهاجمان MitM جایی هستند. در امتداد مسیر، در هر دو انتهای درست نیست.)

ایده این است که به جای اینکه مجبور شوید به کامپیوتر شما یا سرور در انتهای دیگر نفوذ کنید، شما را فریب می دهند تا به آنها متصل شوید (یا عمداً مسیر شبکه شما را دستکاری می کنند، که پس از خروج بسته های خود به راحتی نمی توانید آن را کنترل کنید. روتر خودتان)، و سپس آنها وانمود می کنند که طرف دیگر هستند - اگر بخواهید، یک پروکسی بدخواه.

آنها بسته‌های شما را به مقصد رسمی می‌فرستند، آنها را جاسوسی می‌کنند و شاید در راه با آنها دست و پنجه نرم می‌کنند، سپس پاسخ‌های رسمی را دریافت می‌کنند، که می‌توانند برای بار دوم آن‌ها را جاسوسی کرده و آن‌ها را تغییر دهند، و آن‌ها را به شما بازگردانند که انگار شما هستید. d همان طور که انتظار داشتید، از انتها به انتها متصل شد.

اگر از رمزگذاری انتها به انتها مانند HTTPS برای محافظت از محرمانه بودن (بدون جاسوسی!) و یکپارچگی (بدون دستکاری!) ترافیک استفاده نمی کنید، بعید است که متوجه شوید یا حتی بتوانید تشخیص دهید که شخص دیگری نامه های دیجیتال شما را در حین حمل و نقل بخار باز کرده و سپس دوباره آنها را مهر و موم کرده است.

حمله از یک طرف

A MitB هدف حمله این است که به روشی مشابه کار کند، اما از مشکل ناشی از HTTPS که حمله MitM را بسیار سخت‌تر می‌کند، کنار گذاشته شود.

مهاجمان MitM نمی توانند به راحتی با ترافیکی که با HTTPS رمزگذاری شده است تداخل کنند: آنها نمی توانند داده های شما را زیر نظر بگیرند، زیرا کلیدهای رمزنگاری مورد استفاده در هر انتها برای محافظت از آن را ندارند. آنها نمی توانند داده های رمزگذاری شده را تغییر دهند، زیرا تأیید رمزنگاری در هر انتهای آن زنگ هشدار را به صدا در می آورد. و آنها نمی توانند وانمود کنند که سروری هستند که شما به آن وصل می شوید زیرا راز رمزنگاری که سرور برای اثبات هویت خود استفاده می کند را ندارند.

بنابراین، حمله MitB معمولاً ابتدا به بدافزارهای مخفیانه روی رایانه شما متکی است.

این به طور کلی دشوارتر از دسترسی ساده به شبکه در یک نقطه است، اما اگر مهاجمان بتوانند آن را مدیریت کنند، مزیت بزرگی به آنها می دهد.

به این دلیل است که اگر آنها بتوانند خود را مستقیماً در مرورگر شما وارد کنند، ترافیک شبکه شما را می بینند و تغییر می دهند قبل از اینکه مرورگر شما آن را رمزگذاری کند برای ارسال، که هرگونه حفاظت HTTPS خروجی را لغو می کند، و پس از اینکه مرورگر شما آن را رمزگشایی کرد در راه بازگشت، بنابراین رمزگذاری اعمال شده توسط سرور برای محافظت از پاسخ های خود باطل می شود.

یک BitB چیست؟

اما در مورد a بیت بی حمله؟

مرورگر در مرورگر کاملاً لقمه‌ای است و حیله‌گری که در آن وجود دارد به مجرمان سایبری قدرتی به اندازه هک MitM یا MitB نمی‌دهد، اما مفهوم آن بسیار ساده است و اگر خیلی عجله دارید، شگفت‌آور است. آسان به آن افتادن

ایده حمله BitB ایجاد چیزی است که شبیه یک پنجره مرورگر پاپ آپ است که به طور ایمن توسط خود مرورگر ایجاد شده است، اما در واقع چیزی بیش از یک صفحه وب نیست که در یک پنجره مرورگر موجود ارائه شده است.

ممکن است فکر کنید که این نوع ترفند محکوم به شکست است، صرفاً به این دلیل که هر محتوایی در سایت X که وانمود می کند از سایت Y است، در خود مرورگر به عنوان یک URL در سایت X نشان داده می شود.

با یک نگاه به نوار آدرس متوجه می شوید که به شما دروغ گفته می شود و هر چیزی که به آن نگاه می کنید احتمالاً یک سایت فیشینگ است.

به عنوان مثال، در اینجا یک اسکرین شات از آن است example.com وب سایتی که در فایرفاکس در مک گرفته شده است:

پنجره مرورگر واقعی: اسکرین شات از فایرفاکس برای مک با وب سایت example.com باز است.

اگر مهاجمان شما را به سمت یک سایت جعلی فریب دهند، ممکن است اگر محتوا را از نزدیک کپی کنند، از تصاویر بصری غافل شوید، اما نوار آدرس نشان می دهد که شما در سایتی که به دنبال آن بودید نیستید.

بنابراین، در کلاهبرداری مرورگر در مرورگر، هدف مهاجم ایجاد یک وب معمولی است. با ما که شبیه وب است سایت و محتوا شما انتظار دارید، با تزئینات پنجره و نوار آدرس، شبیه سازی شده تا حد امکان واقعی.

به نوعی، حمله BitB بیشتر درباره هنر است تا علم، و بیشتر در مورد طراحی وب و مدیریت انتظارات است تا هک شبکه.

به عنوان مثال، اگر دو فایل تصویری خراشیده شده روی صفحه ایجاد کنیم که شبیه این هستند…

امنیت جدی: حملات مرورگر در مرورگر - مراقب ویندوزهایی باشید که نیستند! هوش داده PlatoBlockchain. جستجوی عمودی Ai.

… سپس HTML به سادگی آنچه در زیر می بینید…

<html>
   <body>
      <div>
         <div><img src='./fake-top.png'></div>
         <p>
         <div><img src='./fake-bot.png'></div>
      </div>
   </body>
</html>

... چیزی شبیه یک پنجره مرورگر در یک پنجره مرورگر موجود ایجاد می کند، مانند این:

امنیت جدی: حملات مرورگر در مرورگر - مراقب ویندوزهایی باشید که نیستند! هوش داده PlatoBlockchain. جستجوی عمودی Ai.
این شبیه یک پنجره مرورگر فایرفاکس است و دقیقاً همین است:
یک صفحه وب که شبیه پنجره مرورگر است.

در این مثال بسیار ابتدایی، سه دکمه macOS (بستن، کوچک کردن، حداکثر کردن) در بالا سمت چپ کاری انجام نمی دهند، زیرا آنها دکمه های سیستم عامل نیستند، بلکه فقط عکس دکمه هاو نوار آدرس در پنجره فایرفاکس قابل کلیک یا ویرایش نیست، زیرا آن نیز همینطور است. فقط یک اسکرین شات.

اما اگر اکنون یک IFRAME را به HTML که در بالا نشان دادیم اضافه کنیم، برای جذب محتوای جعلی از سایتی که هیچ ربطی به آن ندارد. example.com، مثل این…

<html>
   <body>
      <div>
         <div><img src='./fake-top.png' /></div>   
         <div><iframe src='https:/dodgy.test/phish.html' frameBorder=0 width=650 height=220></iframe></div>
         <div><img src='./fake-bot.png' /></div>
      </div>
   </body>
</html>

... شما باید بپذیرید که محتوای بصری حاصل به نظر می رسد دقیقاً مانند یک پنجره مرورگر مستقل، حتی اگر در واقع یک صفحه وب در یک پنجره مرورگر دیگر.

محتوای متنی و لینک قابل کلیکی که در زیر مشاهده می کنید از سایت دانلود شده است dodgy.test پیوند HTTPS در فایل HTML بالا، که حاوی این کد HTML است:

<html>
   <body style='font-family:sans-serif'>
      <div style='width:530px;margin:2em;padding:0em 1em 1em 1em;'>
         <h1>Example Domain</h1>

         <p>This window is a simulacrum of the real website,
         but it did not come from the URL shown above.
         It looks as though it might have, though, doesn't it?

         <p><a href='https://dodgy.test/phish.click'>Bogus information...</a>
      </div>
   </body>
</html>

محتوای گرافیکی که روی متن HTML قرار می گیرد و به دنبال آن قرار می گیرد، به نظر می رسد که HTML واقعاً از آن آمده است example.comبا تشکر از اسکرین شات نوار آدرس در بالا:

امنیت جدی: حملات مرورگر در مرورگر - مراقب ویندوزهایی باشید که نیستند! هوش داده PlatoBlockchain. جستجوی عمودی Ai.
بالا. کنترل های پنجره جعلی و نوار آدرس از طریق تصویر.
وسط. ساختگی از طریق دانلود IFRAME.
پایین. تصویر پنجره جعلی را دور می کند.

اگر پنجره جعلی را در یک سیستم عامل دیگر مانند لینوکس مشاهده کنید، این کار آشکار است، زیرا یک پنجره فایرفاکس مانند لینوکس با یک "پنجره" شبیه به مک در داخل آن مشاهده می کنید.

اجزای جعلی "پنسمان پنجره" واقعاً مانند تصاویر واقعی خود برجسته می شوند:

امنیت جدی: حملات مرورگر در مرورگر - مراقب ویندوزهایی باشید که نیستند! هوش داده PlatoBlockchain. جستجوی عمودی Ai.
پنجره جعلی به وضوح به عنوان صفحه وب نشان داده شده است،
با کنترل های پنجره واقعی و نوار آدرس در بالای صفحه.

آیا شما به آن می افتید؟

اگر تا به حال از برنامه‌ها اسکرین شات گرفته‌اید، و بعداً اسکرین‌شات‌ها را در نمایشگر عکس خود باز کرده‌اید، مایلیم شرط ببندیم که در مقطعی خود را فریب داده‌اید تا با تصویر برنامه به‌گونه‌ای رفتار کنید که گویی یک نسخه در حال اجرا از آن است. خود برنامه

ما شرط می بندیم که حداقل در زندگی خود روی یک تصویر برنامه در یک برنامه کلیک کرده اید یا روی آن ضربه زده اید و متوجه شده اید که چرا برنامه کار نمی کند. (خوب، شاید شما این کار را نکرده اید، اما ما مطمئناً تا حد سردرگمی واقعی داریم.)

البته، اگر روی یک اسکرین شات برنامه در داخل مرورگر عکس کلیک کنید، در معرض خطر بسیار کمی هستید، زیرا کلیک ها یا ضربه ها به سادگی آن چیزی را که انتظار دارید انجام نمی دهند – در واقع، ممکن است در نهایت به ویرایش یا خط زدن خطوط روی تصویر بپردازید. بجای.

اما وقتی صحبت از یک مرورگر در مرورگر در عوض، «حمله به آثار هنری»، کلیک‌ها یا ضربه‌های نادرست در یک پنجره شبیه‌سازی‌شده می‌تواند خطرناک باشد، زیرا شما هنوز در یک پنجره مرورگر فعال هستید، جایی که جاوا اسکریپت در حال پخش است، و پیوندها هنوز کار می‌کنند…

... شما فقط در پنجره مرورگری که فکر می کردید نیستید، و همچنین در وب سایتی که فکر می کردید نیستید.

بدتر از آن، هر جاوا اسکریپتی که در پنجره فعال مرورگر اجرا می‌شود (که از سایت تقلبی اصلی که بازدید کردید) می‌تواند برخی از رفتارهای مورد انتظار یک پنجره بازشوی واقعی مرورگر را شبیه‌سازی کند تا واقع‌گرایی را اضافه کند، مانند کشیدن آن، تغییر اندازه آن، و بیشتر.

همانطور که در ابتدا گفتیم، اگر منتظر یک پنجره بازشو واقعی هستید و چیزی را می بینید که به نظر می رسد یک پنجره بازشو، کامل با دکمه‌های واقعی مرورگر به‌علاوه یک نوار آدرس که با آنچه انتظار داشتید مطابقت دارد، و شما کمی عجله دارید…

ما می توانیم کاملاً درک کنیم که چگونه ممکن است پنجره جعلی را به اشتباه به عنوان یک پنجره واقعی تشخیص دهید.

بازی های استیم هدف قرار گرفته است

در Group-IB تحقیق ما در بالا به آن اشاره کردیم، حمله واقعی BinB که محققان ایجاد کردند، از Steam Games به عنوان یک فریب استفاده کرد.

یک سایت با ظاهر قانونی، اگرچه قبلاً هرگز نامی از آن نشنیده بودید، به شما این شانس را می دهد که در یک تورنمنت بازی آینده، مکان هایی را کسب کنید، به عنوان مثال…

...و زمانی که سایت گفت که یک پنجره مرورگر جداگانه حاوی صفحه ورود به سیستم Steam ظاهر می شود، در عوض یک پنجره جعلی مرورگر در مرورگر را ارائه داد.

محققان خاطرنشان کردند که مهاجمان فقط از ترفندهای BitB برای جستجوی نام‌های کاربری و رمز عبور استفاده نکرده‌اند، بلکه سعی کرده‌اند پنجره‌های Steam Guard را نیز شبیه‌سازی کنند که از کدهای احراز هویت دو مرحله‌ای درخواست می‌کنند.

خوشبختانه، اسکرین شات های ارائه شده توسط Group-IB نشان داد که مجرمانی که در این مورد با آنها اتفاق افتاده است، به شدت مراقب جنبه های هنری و طراحی کلاهبرداری خود نبوده اند، بنابراین اکثر کاربران احتمالاً جعلی را شناسایی کرده اند.

اما حتی یک کاربر آگاه که عجله دارد، یا شخصی که از مرورگر یا سیستم عاملی استفاده می کند که با آن آشنا نیست، مثلاً در خانه یکی از دوستانش، ممکن است متوجه این اشتباهات نشده باشد.

همچنین، مجرمان سخت‌گیرتر تقریباً مطمئناً محتوای جعلی واقع‌گرایانه‌تری ارائه می‌کنند، به همان شکلی که همه کلاهبرداران ایمیل اشتباهات املایی را در پیام‌های خود مرتکب نمی‌شوند، بنابراین به طور بالقوه باعث می‌شود افراد بیشتری اعتبار دسترسی خود را از دست بدهند.

چه کاری انجام دهید؟

در اینجا سه ​​نکته وجود دارد:

  • پنجره های مرورگر در مرورگر، پنجره های واقعی مرورگر نیستند. اگرچه ممکن است شبیه ویندوزهای سطح سیستم عامل به نظر برسند، با دکمه ها و نمادهایی که دقیقاً شبیه به معامله واقعی هستند، اما مانند ویندوزهای سیستم عامل عمل نمی کنند. آنها مانند صفحات وب رفتار می کنند، زیرا این همان چیزی است که هستند. اگر مشکوک هستید، سعی کنید پنجره مشکوک را به خارج از پنجره اصلی مرورگر که حاوی آن است بکشید. یک پنجره مرورگر واقعی به طور مستقل عمل می کند، بنابراین می توانید آن را به خارج و فراتر از پنجره اصلی مرورگر منتقل کنید. یک پنجره مرورگر جعلی در داخل پنجره واقعی که در آن نشان داده شده «حبس می‌شود»، حتی اگر مهاجم از جاوا اسکریپت برای شبیه‌سازی رفتار واقعی تا حد ممکن استفاده کرده باشد. این به سرعت نشان می دهد که بخشی از یک صفحه وب است، نه یک پنجره واقعی به خودی خود.
  • پنجره های مشکوک را به دقت بررسی کنید. تمسخر واقع بینانه ظاهر و احساس یک پنجره سیستم عامل در داخل یک صفحه وب آسان است که انجام بد، اما دشوار است که به خوبی انجام شود. این چند ثانیه اضافی را صرف جستجوی نشانه‌های آشکار ساختگی و ناسازگاری کنید.
  • اگر شک دارید، آن را بیرون ندهید. به سایت‌هایی که هرگز نامشان را نشنیده‌اید و دلیلی برای اعتماد ندارید، که ناگهان می‌خواهند از طریق یک سایت شخص ثالث وارد شوید مشکوک باشید.

هرگز عجله نداشته باشید، زیرا وقت گذاشتن باعث می‌شود کمتر احتمال دهید که آنچه را که دارید ببینید فکر می کنم به جای اینکه چه چیزی را ببیند در واقع وجود دارد is آنجا.

در سه کلمه: متوقف کردن. فکر. اتصال.

تصویر ویژه از عکس پنجره برنامه حاوی تصویری از عکس Magritte "La Trahison des Images" ایجاد شده از طریق ویکیپدیا.

تمبر زمان:

بیشتر از امنیت برهنه