A Group-IB fenyegetésekkel foglalkozó hírszerző cég kutatói most írtak egy érdekességet valós történet néven ismert, bosszantóan egyszerű, de meglepően hatékony adathalász trükkről BitB, röviden böngésző a böngészőben.
Valószínűleg hallottál már többféle X-in-the-Y támadásról, nevezetesen WithM és a MitB, röviden manipulátor a közepén és a manipulátor a böngészőben.
A MitM támadásban az Önt átverni akaró támadók valahol a hálózat közepén helyezkednek el, az Ön számítógépe és az elérni kívánt szerver közé.
(Lehet, hogy szó szerint nincsenek középen, sem földrajzilag, sem ugrásszerűen, de a MitM támadók valahol ott vannak mentén az útvonal, egyik végén sem.)
Az ötlet az, hogy ahelyett, hogy be kellene törniük a számítógépet vagy a másik végén lévő kiszolgálót, ráveszik, hogy csatlakozzon hozzájuk (vagy szándékosan manipulálják a hálózati elérési utat, amit nem lehet könnyen ellenőrizni, ha a csomagok kilépnek a saját routered), majd úgy tesznek, mintha a másik vég lennének – egy rosszindulatú proxy, ha úgy tetszik.
Átadják a csomagjaidat a hivatalos úticélnak, leskelődnek, és esetleg útközben babrálnak velük, majd megkapják a hivatalos válaszokat, amelyeket másodszor is leskelhetnek és megcsíphetnek, és visszaadják neked, mintha d végponttól végpontig csatlakozik, ahogy várta.
Ha nem használ végpontok közötti titkosítást, például HTTPS-t a forgalom titkosságának (nincs betekintés!) és integritásának (nincs manipuláció!) védelme érdekében, akkor valószínűleg nem veszi észre, sőt nem is tudja észleli, hogy valaki más gőzzel felnyitotta az Ön digitális leveleit szállítás közben, majd újra lezárta őket.
Támadás az egyik végén
A MitB A támadás célja, hogy hasonló módon működjön, de elkerülje a HTTPS által okozott problémát, amely sokkal nehezebbé teszi a MitM támadást.
A MitM támadói nem tudnak könnyen beleavatkozni a HTTPS-szel titkosított forgalomba: nem tudják lenyomni az Ön adatait, mert nem rendelkeznek a két végük által használt kriptográfiai kulcsokkal, hogy megvédjék azokat; nem tudják megváltoztatni a titkosított adatokat, mert a kriptográfiai ellenőrzés mindkét végén riasztást váltana ki; és nem tehetnek úgy, mintha azok a szerver lennének, amelyhez csatlakozol, mert nem rendelkeznek azzal a kriptográfiai titkával, amelyet a szerver a személyazonosságának bizonyítására használ.
A MitB támadások ezért általában arra támaszkodnak, hogy a rosszindulatú programokat először a számítógépére lopják.
Ez általában nehezebb, mint egyszerûen egyszerûen hozzáérni a hálózathoz, de óriási elõnyt jelent a támadóknak, ha kezelni tudják.
Ennek az az oka, hogy ha beilleszthetik magukat közvetlenül a böngészőbe, láthatják és módosíthatják a hálózati forgalmat mielőtt a böngészője titkosítja küldéshez, amely megszünteti a kimenő HTTPS-védelmet, és miután a böngésző visszafejtette visszaúton, így semmissé téve a szerver által a válaszok védelme érdekében alkalmazott titkosítást.
Mi a helyzet a BitB-vel?
De mi van a BitB támadás?
Böngésző a böngészőben elég nagy falat, és a benne lévő trükkök közel sem adnak akkora hatalmat a kiberbűnözőknek, mint egy MitM vagy MitB hack, de a koncepció homlokcsapkodóan egyszerű, és ha nagyon sietsz, az meglepő könnyű bedőlni neki.
A BitB támadás lényege, hogy egy felugró böngészőablakot hozzon létre, amelyet maga a böngésző hozott létre biztonságosan, de ez valójában nem más, mint egy weblap, amelyet egy meglévő böngészőablakban jelenítettek meg.
Azt gondolhatja, hogy ez a fajta trükk kudarcra van ítélve, egyszerűen azért, mert az X webhely minden olyan tartalma, amely úgy tesz, mintha az Y webhelyről származik, magában a böngészőben az X webhely URL-jéről származik.
Egy pillantás a címsávra nyilvánvalóvá teszi, hogy hazudnak Önnek, és bármit is néz, valószínűleg adathalász webhely.
Példaként, itt egy képernyőkép a example.com webhely, Firefoxban készült Mac számítógépen:
Ha a támadók egy hamis webhelyre csábítanak, bedőlhet a látványelemeknek, ha alaposan lemásolják a tartalmat, de a címsorból kiderül, hogy nem a keresett webhelyen tartózkodik.
A Böngésző a böngészőben átverésnél ezért a támadó célja egy normál web létrehozása. oldal úgy néz ki, mint a web webhely és tartalom amit vársz, kiegészítve az ablakdíszekkel és a címsorral, a lehető legvalósághűbben szimulálva.
Bizonyos értelemben a BitB támadás inkább a művészetről szól, mint a tudományról, és inkább a webdesignról és az elvárások kezeléséről, mint a hálózati hackelésről.
Például, ha létrehozunk két képernyőről lekapart képfájlt, amelyek így néznek ki…
…akkor a HTML olyan egyszerű, mint amit alább lát…
<html>
<body>
<div>
<div><img src='./fake-top.png'></div>
<p>
<div><img src='./fake-bot.png'></div>
</div>
</body>
</html>
…böngészőablakot hoz létre egy meglévő böngészőablakon belül, például:
egy weblap, amely Böngészőablaknak néz ki.
Ebben a nagyon egyszerű példában a bal felső sarokban található három macOS gomb (bezárás, minimalizálás, maximalizálás) nem csinál semmit, mert nem operációs rendszer gombjai, hanem csak képek a gombokról, és a Firefox-ablaknak tűnő címsáv nem kattintható be vagy szerkeszthető, mert az is csak egy képernyőkép.
De ha most hozzáadunk egy IFRAME-et a fent bemutatott HTML-hez, hogy hamis tartalmat szívjunk el egy olyan webhelyről, amelynek semmi köze example.com, mint ez…
<html>
<body>
<div>
<div><img src='./fake-top.png' /></div>
<div><iframe src='https:/dodgy.test/phish.html' frameBorder=0 width=650 height=220></iframe></div>
<div><img src='./fake-bot.png' /></div>
</div>
</body>
</html>
…el kell ismernie, hogy az eredményül kapott vizuális tartalom úgy néz ki pontosan úgy, mint egy önálló böngészőablakban, annak ellenére, hogy valójában a weboldal egy másik böngészőablakban.
Az alább látható szöveges tartalom és a kattintható hivatkozás a webhelyről lett letöltve dodgy.test HTTPS hivatkozás a fenti HTML-fájlban, amely ezt a HTML-kódot tartalmazza:
<html>
<body style='font-family:sans-serif'>
<div style='width:530px;margin:2em;padding:0em 1em 1em 1em;'>
<h1>Example Domain</h1>
<p>This window is a simulacrum of the real website,
but it did not come from the URL shown above.
It looks as though it might have, though, doesn't it?
<p><a href='https://dodgy.test/phish.click'>Bogus information...</a>
</div>
</body>
</html>
A HTML-szöveg tetején és végében lévő grafikus tartalom úgy néz ki, mintha a HTML valóban származna example.com, köszönhetően a képernyő tetején lévő címsáv képernyőképének:
Középső. Hamisítás IFRAME letöltésen keresztül.
Alsó. A kép kerekíti a hamis ablakot.
A mesterkéltség nyilvánvaló, ha a hamis ablakot egy másik operációs rendszeren, például Linuxon tekintjük meg, mert egy Linux-szerű Firefox ablakot kapunk, amelyben egy Mac-szerű „ablak”.
A hamis „ablakborítás” komponensek valóban úgy tűnnek ki, mint a valóságban:
a tényleges ablakvezérlőkkel és a címsorral a legfelül.
Bedőlnél neki?
Ha valaha is készített már képernyőképet alkalmazásokról, majd később megnyitotta a képernyőképeket a fotónézegetőben, akkor hajlandóak vagyunk fogadni, hogy valamikor becsapta magát, és úgy kezelte az alkalmazás képét, mintha az a maga az alkalmazás.
Fogadni fogunk, hogy életében legalább egy alkalmazás-az-alkalmazásban képre kattintott vagy rákoppintott, és azon kapta magát, hogy vajon miért nem működik az alkalmazás. (Rendben, lehet, hogy nem, de mi minden bizonnyal igen, egészen a valódi zűrzavarig.)
Természetesen, ha rákattint egy alkalmazás képernyőképére egy fotóböngészőben, nagyon kicsi a kockázata, mert a kattintások vagy koppintások egyszerűen nem azt teszik, amit várna – sőt, előfordulhat, hogy a képen szerkeszti vagy firkálja a vonalakat. helyette.
De ha arról van szó, hogy a böngésző a böngészőben Ehelyett a „műalkotás támadása” veszélyes lehet a szimulált ablakban történő félreirányított kattintások vagy koppintások miatt, mert még mindig egy aktív böngészőablakban van, ahol a JavaScript játszik, és ahol a linkek továbbra is működnek…
…csak nem abban a böngészőablakban vagy, amelyre gondoltál, és nem azon a webhelyen sem, amelyre gondoltál.
Ami még rosszabb, az aktív böngészőablakban futó JavaScript (amely az Ön által meglátogatott eredeti csaló webhelyről érkezett) képes szimulálni az eredeti böngésző felugró ablakának elvárt viselkedését, hogy valósághűbb legyen, például elhúzhatja, átméretezheti és több.
Ahogy az elején mondtuk, ha egy igazi felugró ablakra vár, és lát valamit úgy néz ki, mint a egy felugró ablak valósághű böngészőgombokkal, valamint egy címsorral, amely megfelel annak, amit várt, és egy kicsit siet...
…teljesen megértjük, hogyan ismerheti fel félre a hamis ablakot, mint valódit.
Steam Games célpont
Az IB csoportban kutatás már fentebb említettük, a valós BinB támadás, amelyre a kutatók jöttek, a Steam Games-t használta csaliként.
Egy legitim megjelenésű webhely, bár olyan, amelyről korábban soha nem hallott, lehetőséget kínálna arra, hogy helyet nyerjen egy közelgő játékversenyen, például…
…és amikor a webhely azt mondta, hogy egy külön böngészőablakot hoz fel, amely egy Steam bejelentkezési oldalt tartalmaz, valójában egy hamis böngésző-aböngésző ablakot mutatott be.
A kutatók megjegyezték, hogy a támadók nem csak BitB trükköket használtak felhasználónevek és jelszavak keresésére, hanem a Steam Guard kétfaktoros hitelesítési kódokat kérő felugró ablakait is szimulálták.
Szerencsére a Group-IB által bemutatott képernyőképek azt mutatták, hogy a bűnözők, akikkel ebben az esetben találkoztak, nem voltak különösebben óvatosak csalásuk művészeti és tervezési vonatkozásaival kapcsolatban, így a legtöbb felhasználó valószínűleg észrevette a hamisítást.
De előfordulhat, hogy még egy jól tájékozott, siető felhasználó sem, aki olyan böngészőt vagy operációs rendszert használ, amelyet nem ismert, például egy barátja házában, nem vette észre a pontatlanságokat.
Emellett az igényesebb bűnözők szinte bizonyosan valósághűbb hamis tartalommal állnak elő, ugyanúgy, ahogyan nem minden e-mailes csaló követ el helyesírási hibát az üzeneteiben, így potenciálisan több embert késztethet arra, hogy átadja hozzáférési adatait.
Mit kell tenni?
Íme három tipp:
- A Böngésző a böngészőben ablakai nem valódi böngészőablakok. Noha operációs rendszer szintű ablakoknak tűnhetnek, a gombokkal és ikonokkal olyanok, mint az igazi, nem úgy viselkednek, mint az operációs rendszer ablakai. Úgy viselkednek, mint egy weboldal, mert ilyenek. Ha gyanús, próbálja meg húzni a gyanús ablakot az azt tartalmazó fő böngészőablakon kívülre. A valódi böngészőablak önállóan fog működni, így áthelyezheti az eredeti böngészőablakon kívülre és túlra. Egy hamis böngészőablakot „bebörtönöznek” abban a valódi ablakban, amelyben látható, még akkor is, ha a támadó JavaScriptet használt, hogy a lehető legtöbb valódi megjelenésű viselkedést szimulálja. Ez gyorsan megmutatja, hogy ez egy weboldal része, nem pedig egy igazi ablak.
- Gondosan vizsgálja meg a gyanús ablakokat. Az operációs rendszer ablakának megjelenését és hangulatát valósághűen gúnyolni egy weboldalon belül könnyű rosszul csinálni, de nehéz jól csinálni. Szánja rá azt a néhány másodpercet, hogy megkeresse a hamisítás és következetlenség árulkodó jeleit.
- Ha kétségei vannak, ne adja ki. Gyanakodjon olyan webhelyekre, amelyekről még soha nem hallott, és amelyekben nincs oka megbízni, és amelyek hirtelen azt akarják, hogy egy harmadik fél webhelyén keresztül jelentkezzen be.
Soha ne siess, mert ha rászánod az időt, akkor sokkal kevésbé fogod látni, amit te vagy Szerintem ott van-e ahelyett, hogy mit látunk valójában is ott.
Három szóban: Állj meg. Gondol. Csatlakozás.
Kiemelt kép az alkalmazásablak fotójáról, amely Magritte „La Trahison des Images” című képét tartalmazza a következőn keresztül Wikipedia.
- BitB
- blockchain
- coingenius
- cryptocurrency pénztárcák
- titkosítás
- kiberbiztonság
- kiberbűnözők
- Kiberbiztonság
- adatvesztés
- belbiztonsági osztály
- digitális pénztárcák
- tűzfal
- Kaspersky
- malware
- McAfee
- MitB
- MITM
- Meztelen biztonság
- NexBLOC
- Adathalászat
- Plató
- plato ai
- Platón adatintelligencia
- Platón játék
- PlatoData
- platogaming
- Átverés
- VPN
- A honlap biztonsága
- zephyrnet
