Uhkatietoyhtiö Group-IB:n tutkijat kirjoittivat juuri kiehtovan tosielämän tarina ärsyttävän yksinkertaisesta mutta yllättävän tehokkaasta tietojenkalastelutempusta BitB, lyhenne jstk selain selaimessa.
Olet luultavasti kuullut useista X-in-the-Y-hyökkäystyypeistä ennenkin, erityisesti MITM ja MitB, lyhenne jstk manipulaattori keskellä ja manipulaattori selaimessa.
MitM-hyökkäyksessä hyökkääjät, jotka haluavat huijata sinua, asettuvat jonnekin verkon "keskelle", tietokoneesi ja tavoittelemasi palvelimen väliin.
(Ne eivät ehkä ole kirjaimellisesti keskellä, joko maantieteellisesti tai hop-viisassa, mutta MitM-hyökkääjät ovat jossain pitkin reitti, ei oikeassa kummassakaan päässä.)
Ajatuksena on, että sen sijaan, että joutuisivat murtautumaan tietokoneellesi tai toisessa päässä olevaan palvelimeen, ne houkuttelevat sinut ottamaan yhteyttä niihin (tai manipuloivat tietoisesti verkkopolkuasi, jota et voi helposti hallita, kun paketit poistuvat oma reitittimesi), ja sitten he teeskentelevät olevansa toinen pää – pahantahtoinen välityspalvelin, jos haluat.
He välittävät pakettisi viralliseen määränpäähän, nuuskien niitä ja kenties näpertelevät niitä matkalla, sitten he saavat viralliset vastaukset, joita he voivat nuuskia ja säätää toisen kerran ja lähettää ne takaisin sinulle ikään kuin sinä d yhdistetty päästä päähän, kuten odotit.
Jos et käytä päästä päähän -salausta, kuten HTTPS:ää, suojellaksesi sekä liikenteen luottamuksellisuutta (ei nuuskimista!) että eheyttä (ei peukalointia!), et todennäköisesti huomaa tai edes pysty havaita, että joku muu on höyryttänyt avata digitaalisia kirjeitäsi kuljetuksen aikana ja sulkenut ne sitten uudelleen.
Hyökkäys toisesta päästä
A MitB hyökkäys pyrkii toimimaan samalla tavalla, mutta kiertämään HTTPS:n aiheuttaman ongelman, joka tekee MitM-hyökkäyksestä paljon vaikeampaa.
MitM-hyökkääjät eivät voi helposti häiritä HTTPS:llä salattua liikennettä: he eivät voi tiedustella tietojasi, koska heillä ei ole molempien päiden käyttämiä salausavaimia niiden suojaamiseen; he eivät voi muuttaa salattua dataa, koska molemmissa päissä oleva kryptografinen vahvistus herättäisi hälytyksen; eivätkä he voi teeskennellä olevansa palvelin, johon muodostat yhteyden, koska heillä ei ole salaussalaisuutta, jota palvelin käyttää henkilöllisyytensä todistamiseen.
MitB-hyökkäys siis perustuu yleensä siihen, että haittaohjelmat hiipivät ensin tietokoneellesi.
Se on yleensä vaikeampaa kuin vain koskettaa verkkoa jossain vaiheessa, mutta se antaa hyökkääjille valtavan edun, jos he voivat hallita sitä.
Tämä johtuu siitä, että jos he voivat työntää itsensä suoraan selaimesi sisään, he voivat nähdä ja muokata verkkoliikennettäsi ennen kuin selaimesi salaa sen lähettämistä varten, mikä kumoaa lähtevän HTTPS-suojauksen, ja sen jälkeen, kun selaimesi on purkanut sen paluumatkalla, mikä mitätöi palvelimen vastausten suojaamiseksi käyttämän salauksen.
Entä BitB?
Mutta entä a BitB hyökkäys?
Selain selaimessa on melkoinen suupala, eikä siihen liittyvä temppu anna kyberrikollisille läheskään yhtä paljon valtaa kuin MitM- tai MitB-hakkerointi, mutta konsepti on otsaa lyövän yksinkertainen, ja jos sinulla on liian kiire, se on yllättävää. siihen on helppo langeta.
BitB-hyökkäyksen ideana on luoda ponnahdusikkunalta näyttävä selainikkuna, jonka selain itse on luonut turvallisesti, mutta se ei itse asiassa ole muuta kuin olemassa olevassa selainikkunassa renderöity verkkosivu.
Saatat ajatella, että tällainen huijaus olisi tuomittu epäonnistumaan, koska kaikki sivuston X sisältö, joka teeskentelee olevansa sivustolta Y, näkyy itse selaimessa sivuston X URL-osoitteesta tulevana.
Yksi vilkaisu osoitepalkkiin tekee selväksi, että sinulle valehdellaan ja että kaikki mitä katsot on todennäköisesti tietojenkalastelusivusto.
Vihollinen esimerkki, tässä on kuvakaappaus example.com verkkosivusto, otettu Firefoxilla Macissa:
Jos hyökkääjät houkuttelevat sinut väärennetylle sivustolle, saatat ihastua visuaalisiin kuviin, jos he kopioisivat sisällön tarkasti, mutta osoitepalkki paljastaisi, että et ole etsimälläsi sivustolla.
Selain-selaimessa -huijauksen yhteydessä hyökkääjän tavoitteena on siis luoda tavallinen verkko sivulla joka näyttää verkosta sivusto ja sisältö mitä odotat, ikkunakoristeiden ja osoitepalkin kanssa simuloituna mahdollisimman realistisesti.
Tietyllä tavalla BitB-hyökkäys liittyy enemmän taiteeseen kuin tieteeseen, ja se koskee enemmän web-suunnittelua ja odotusten hallintaa kuin verkkohakkerointia.
Jos esimerkiksi luomme kaksi näytöllä kaavittua kuvatiedostoa, jotka näyttävät tältä…
…sitten HTML yhtä yksinkertaista kuin alla näet…
<html>
<body>
<div>
<div><img src='./fake-top.png'></div>
<p>
<div><img src='./fake-bot.png'></div>
</div>
</body>
</html>
…luo nykyisen selainikkunan sisään selainikkunan, kuten tämän:
verkkosivu, joka NÄYTTÄÄ SElainikkunalta.
Tässä hyvin perusesimerkissä kolme macOS-painiketta (sulje, pienennä, suurenna) vasemmassa yläkulmassa eivät tee mitään, koska ne eivät ole käyttöjärjestelmän painikkeita, ne ovat vain kuvia painikkeista, ja Firefox-ikkunan näköistä osoitepalkkia ei voi napsauttaa sisään tai muokata, koska sekin on vain kuvakaappaus.
Mutta jos lisäämme nyt IFRAME-kehyksen yllä näytämme HTML-koodiin, jotta voimme imeä vääriä sisältöä sivustolta, jolla ei ole mitään tekemistä example.com, kuten tämä…
<html>
<body>
<div>
<div><img src='./fake-top.png' /></div>
<div><iframe src='https:/dodgy.test/phish.html' frameBorder=0 width=650 height=220></iframe></div>
<div><img src='./fake-bot.png' /></div>
</div>
</body>
</html>
…sinun on myönnettävä, että tuloksena oleva visuaalinen sisältö näyttää aivan kuin erillinen selainikkuna, vaikka se itse asiassa on a Web-sivun toisessa selainikkunassa.
Alla näkyvä tekstisisältö ja napsautettava linkki on ladattu osoitteesta dodgy.test HTTPS-linkki yllä olevassa HTML-tiedostossa, joka sisälsi tämän HTML-koodin:
<html>
<body style='font-family:sans-serif'>
<div style='width:530px;margin:2em;padding:0em 1em 1em 1em;'>
<h1>Example Domain</h1>
<p>This window is a simulacrum of the real website,
but it did not come from the URL shown above.
It looks as though it might have, though, doesn't it?
<p><a href='https://dodgy.test/phish.click'>Bogus information...</a>
</div>
</body>
</html>
HTML-tekstiä täydentävä graafinen sisältö saa sen näyttämään siltä kuin HTML todella olisi peräisin example.com, kiitos yläreunan osoitepalkin kuvakaappauksen:
Keski. Fakery IFRAME-latauksen kautta.
Pohja. Kuva pyöristää väärennetyn ikkunan.
Keinotekoisuus on ilmeinen, jos tarkastelet väärää ikkunaa eri käyttöjärjestelmässä, kuten Linuxissa, koska saat Linuxin kaltaisen Firefox-ikkunan, jonka sisällä on Mac-tyyppinen "ikkuna".
Väärennetyt "ikkunaverhoilu"-komponentit todella erottuvat kuvina, jotka ne todellisuudessa ovat:
varsinaiset ikkunan säätimet ja osoitepalkki ovat aivan yläreunassa.
Tyytyisitkö siihen?
Jos olet koskaan ottanut kuvakaappauksia sovelluksista ja avannut sitten kuvakaappaukset myöhemmin valokuvien katseluohjelmassasi, olemme valmiita lyömään vetoa, että olet jossain vaiheessa huijannut itsesi käsittelemään sovelluksen kuvaa kuin se olisi käynnissä oleva kopio itse sovellus.
Lyödään vetoa, että olet napsauttanut tai napauttanut sovellus sovelluksessa -kuvaa ainakin yhden elämäsi aikana ja pohtinut, miksi sovellus ei toiminut. (OK, ehkä et ole, mutta meillä on varmasti, aitoon hämmennykseen asti.)
Tietenkin, jos napsautat sovelluksen kuvakaappausta valokuvaselaimessa, sinulla on hyvin pieni riski, koska napsautukset tai napautukset eivät yksinkertaisesti tee odotuksiasi – saatat joutua muokkaamaan tai raaputtamaan kuvan viivoja. sen sijaan.
Mutta kun on kyse a selain selaimessa Sen sijaan "taideteoshyökkäys", väärin suunnatut napsautukset tai napautukset simuloidussa ikkunassa voivat olla vaarallisia, koska olet edelleen aktiivisessa selainikkunassa, jossa JavaScript on pelissä ja linkit toimivat edelleen...
…et vain ole siinä selainikkunassa, jota ajattelit, etkä myöskään verkkosivustolla, jonka ajattelit.
Mikä vielä pahempaa, mikä tahansa aktiivisessa selainikkunassa käynnissä oleva JavaScript (joka tuli alkuperäiseltä huijarisivustolta, jolla vierailet) voi simuloida joitain aidon selaimen ponnahdusikkunan odotettua käyttäytymistä lisätäkseen realistisuutta, kuten vetämällä sitä, muuttamalla sen kokoa ja lisää.
Kuten alussa sanoimme, jos odotat todellista ponnahdusikkunaa ja näet jotain sellaista näyttää ponnahdusikkuna, jossa on realistiset selainpainikkeet sekä osoitepalkki, joka vastaa odotuksiasi, ja sinulla on hieman kiire…
…ymmärrämme täysin, kuinka saatat tunnistaa väärän ikkunan aidoksi.
Steam Games kohdistettu
Ryhmässä IB tutkimus Mainitsimme yllä, todellisen maailman BinB-hyökkäys, jonka tutkijat tulivat, käytti Steam Gamesia houkuttimena.
Laillisen näköinen sivusto, vaikka et ole koskaan ennen kuullutkaan, tarjoaisi sinulle mahdollisuuden voittaa paikkoja esimerkiksi tulevassa peliturnauksessa…
…ja kun sivusto sanoi avaavansa erillisen selainikkunan, joka sisälsi Steam-kirjautumissivun, se todella esitti sen sijaan väärän selaimen selaimen ikkunan.
Tutkijat huomauttivat, että hyökkääjät eivät vain käyttäneet BitB-temppuja käyttäjänimien ja salasanojen etsimiseen, vaan yrittivät myös simuloida Steam Guard -ponnahdusikkunoita, jotka pyysivät myös kaksivaiheisia todennuskoodeja.
Onneksi Group-IB:n esittämät kuvakaappaukset osoittivat, että rikolliset, joihin he törmäsivät tässä tapauksessa, eivät olleet kovin varovaisia huijauksensa taiteen ja suunnittelun suhteen, joten useimmat käyttäjät luultavasti huomasivat väärennöksen.
Mutta edes hyvin perillä oleva kiireinen käyttäjä tai joku, joka käyttää selainta tai käyttöjärjestelmää, jota he eivät tunne, esimerkiksi ystävän luona, ei ehkä ole huomannut epätarkkuuksia.
Lisäksi vaativammat rikolliset keksivät lähes varmasti realistisempaa väärennettyä sisältöä samalla tavalla kuin kaikki sähköpostihuijarit eivät tee kirjoitusvirheitä viesteihinsä, mikä saattaa saada useammat ihmiset luovuttamaan käyttöoikeustietojaan.
Mitä tehdä?
Tässä kolme vinkkiä:
- Selain-ikkunat eivät ole oikeita selainikkunoita. Vaikka ne saattavat näyttää käyttöjärjestelmätason ikkunilta, joiden painikkeet ja kuvakkeet näyttävät aivan todellisilta, ne eivät toimi kuin käyttöjärjestelmäikkunat. Ne käyttäytyvät kuin web-sivut, koska sitä he ovat. Jos epäilet, yritä vetää epäilty ikkuna sen sisältävän pääselainikkunan ulkopuolelle. Todellinen selainikkuna toimii itsenäisesti, joten voit siirtää sen alkuperäisen selainikkunan ulkopuolelle ja sen ulkopuolelle. Väärennetty selainikkuna "vangitaan" sen oikean ikkunan sisään, jossa se näytetään, vaikka hyökkääjä olisi yrittänyt simuloida mahdollisimman paljon aidon näköistä käyttäytymistä JavaScriptin avulla. Tämä paljastaa nopeasti, että se on osa verkkosivua, ei varsinainen ikkuna.
- Tutki epäilyttävät ikkunat huolellisesti. Käyttöjärjestelmäikkunan ulkoasun ja tuntuman realistinen pilkkaaminen verkkosivun sisällä on helppo tehdä huonosti, mutta vaikea tehdä hyvin. Käytä muutama ylimääräinen sekunti löytääksesi merkkejä väärennöksistä ja epäjohdonmukaisuudesta.
- Jos olet epävarma, älä luovuta sitä. Suhtaudu epäilevästi sivustoihin, joista et ole koskaan kuullut ja joihin sinulla ei ole syytä luottaa ja jotka yhtäkkiä haluavat sinun kirjautuvan sisään kolmannen osapuolen sivuston kautta.
Älä koskaan pidä kiirettä, sillä ajan käyttäminen tekee sinusta paljon vähemmän todennäköisesti näkemässä mitä sinä ajatella on olemassa sen sijaan, että näkee mitä todella is siellä.
Kolmella sanalla: Lopettaa. Ajatella. Kytkeä.
Suositeltu kuva valokuvasta sovellusikkunasta, joka sisältää kuvan Magritten "La Trahison des Images" -kuvasta, joka on luotu wikipedia.
- BitB
- blockchain
- coingenius
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- tietojen menetys
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- MitB
- MITM
- Naked Security
- NexBLOC
- Phishing
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- Huijaus
- VPN
- verkkosivuilla turvallisuus
- zephyrnet
