Keamanan Serius: Serangan browser-in-the-browser – hati-hati dengan jendela yang tidak!

Para peneliti di perusahaan intelijen ancaman Group-IB baru saja menulis yang menarik cerita kehidupan nyata tentang trik phishing yang sangat sederhana namun sangat efektif yang dikenal sebagai bitB, kependekan dari browser-di-browser.

Anda mungkin pernah mendengar beberapa jenis serangan X-in-the-Y sebelumnya, terutama MitM dan MitB, kependekan dari manipulator-di-tengah dan manipulator-di-browser.

Dalam serangan MitM, penyerang yang ingin menipu Anda memposisikan diri mereka di suatu tempat "di tengah" jaringan, antara komputer Anda dan server yang ingin Anda jangkau.

(Mereka mungkin tidak benar-benar berada di tengah, baik secara geografis atau hop, tetapi penyerang MitM ada di suatu tempat sepanjang rute, tidak tepat di kedua ujungnya.)

Idenya adalah bahwa alih-alih harus membobol komputer Anda, atau ke server di ujung yang lain, mereka malah memikat Anda untuk menghubungkannya (atau dengan sengaja memanipulasi jalur jaringan Anda, yang tidak dapat Anda kendalikan dengan mudah setelah paket Anda keluar dari router Anda sendiri), dan kemudian mereka berpura-pura menjadi ujung lainnya – proxy jahat, jika Anda mau.

Mereka meneruskan paket Anda ke tujuan resmi, mengintipnya dan mungkin mengotak-atiknya di jalan, kemudian menerima balasan resmi, yang dapat mereka intip dan atur untuk kedua kalinya, dan berikan kembali kepada Anda seolah-olah Anda d terhubung ujung ke ujung seperti yang Anda harapkan.

Jika Anda tidak menggunakan enkripsi ujung-ke-ujung seperti HTTPS untuk melindungi kerahasiaan (tidak ada pengintaian!) dan integritas (tidak ada gangguan!) dari lalu lintas, Anda tidak akan menyadarinya, atau bahkan tidak dapat mendeteksi, bahwa orang lain telah membuka surat digital Anda dalam perjalanan, dan kemudian menyegelnya lagi setelahnya.

Menyerang di satu ujung

A MitB serangan bertujuan untuk bekerja dengan cara yang sama, tetapi untuk menghindari masalah yang disebabkan oleh HTTPS, yang membuat serangan MitM jauh lebih sulit.

Penyerang MitM tidak dapat dengan mudah mengganggu lalu lintas yang dienkripsi dengan HTTPS: mereka tidak dapat mengintip data Anda, karena mereka tidak memiliki kunci kriptografi yang digunakan oleh setiap ujungnya untuk melindunginya; mereka tidak dapat mengubah data terenkripsi, karena verifikasi kriptografi di setiap ujung kemudian akan meningkatkan alarm; dan mereka tidak dapat berpura-pura menjadi server yang Anda sambungkan karena mereka tidak memiliki rahasia kriptografi yang digunakan server untuk membuktikan identitasnya.

Oleh karena itu, serangan MitB biasanya bergantung pada penyelundupan malware ke komputer Anda terlebih dahulu.

Itu umumnya lebih sulit daripada hanya memasuki jaringan di beberapa titik, tetapi memberi penyerang keuntungan besar jika mereka dapat mengelolanya.

Itu karena, jika mereka dapat memasukkan diri mereka sendiri ke dalam browser Anda, mereka dapat melihat dan mengubah lalu lintas jaringan Anda sebelum browser Anda mengenkripsinya untuk pengiriman, yang membatalkan perlindungan HTTPS keluar, dan setelah browser Anda mendekripsi itu dalam perjalanan kembali, sehingga meniadakan enkripsi yang diterapkan oleh server untuk melindungi balasannya.

Bagaimana dengan BitB?

Tapi bagaimana dengan bitB menyerang?

Browser-dalam-browser cukup banyak, dan tipu daya yang terlibat tidak memberikan penjahat dunia maya mendekati kekuatan sebanyak peretasan MitM atau MitB, tetapi konsepnya sangat sederhana, dan jika Anda terlalu terburu-buru, itu mengejutkan mudah jatuh karenanya.

Ide serangan BitB adalah untuk membuat apa yang tampak seperti jendela browser popup yang dibuat dengan aman oleh browser itu sendiri, tetapi itu sebenarnya tidak lebih dari halaman web yang dirender di jendela browser yang ada.

Anda mungkin berpikir bahwa tipuan semacam ini akan gagal, hanya karena konten apa pun di situs X yang berpura-pura berasal dari situs Y akan muncul di browser itu sendiri sebagai berasal dari URL di situs X.

Sekilas di bilah alamat akan memperjelas bahwa Anda dibohongi, dan apa pun yang Anda lihat mungkin adalah situs phishing.

Contoh musuh, inilah tangkapan layar dari example.com situs web, diambil di Firefox di Mac:

Jika penyerang memikat Anda ke situs palsu, Anda mungkin akan jatuh cinta pada visual jika mereka menyalin konten dengan cermat, tetapi bilah alamat akan memberi tahu bahwa Anda tidak berada di situs yang Anda cari.

Dalam penipuan Browser-in-the-Browser, oleh karena itu, tujuan penyerang adalah membuat web biasa halaman yang terlihat seperti web situs dan konten Anda harapkan, lengkap dengan dekorasi jendela dan bilah alamat, disimulasikan serealistis mungkin.

Di satu sisi, serangan BitB lebih tentang seni daripada sains, dan ini lebih tentang desain web dan mengelola ekspektasi daripada tentang peretasan jaringan.

Misalnya, jika kita membuat dua file gambar screen-scraped yang terlihat seperti ini…

…lalu HTML sesederhana apa yang Anda lihat di bawah ini…

<html>
   <body>
      <div>
         <div><img src='./fake-top.png'></div>
         <p>
         <div><img src='./fake-bot.png'></div>
      </div>
   </body>
</html>

…akan membuat apa yang tampak seperti jendela browser di dalam jendela browser yang ada, seperti ini:

Dalam contoh yang sangat mendasar ini, tiga tombol macOS (tutup, minimalkan, maksimalkan) di kiri atas tidak akan melakukan apa pun, karena itu bukan tombol sistem operasi, mereka hanya gambar tombol, dan bilah alamat yang tampak seperti jendela Firefox tidak dapat diklik atau diedit, karena memang demikian hanya tangkapan layar.

Tetapi jika sekarang kita menambahkan IFRAME ke dalam HTML yang kita tunjukkan di atas, untuk menyedot konten palsu dari situs yang tidak ada hubungannya dengan example.com, seperti ini…

<html>
   <body>
      <div>
         <div><img src='./fake-top.png' /></div>   
         <div><iframe src='https:/dodgy.test/phish.html' frameBorder=0 width=650 height=220></iframe></div>
         <div><img src='./fake-bot.png' /></div>
      </div>
   </body>
</html>

…Anda harus mengakui bahwa konten visual yang dihasilkan terlihat persis seperti jendela browser mandiri, meskipun sebenarnya itu halaman web di dalam jendela browser lain.

Konten teks dan tautan yang dapat diklik yang Anda lihat di bawah diunduh dari dodgy.test Tautan HTTPS dalam file HTML di atas, yang berisi kode HTML ini:

<html>
   <body style='font-family:sans-serif'>
      <div style='width:530px;margin:2em;padding:0em 1em 1em 1em;'>
         <h1>Example Domain</h1>

         <p>This window is a simulacrum of the real website,
         but it did not come from the URL shown above.
         It looks as though it might have, though, doesn't it?

         <p><a href='https://dodgy.test/phish.click'>Bogus information...</a>
      </div>
   </body>
</html>

Konten grafis yang berada di atas dan membuntuti teks HTML membuatnya tampak seolah-olah HTML benar-benar berasal example.com, berkat tangkapan layar bilah alamat di bagian atas:

Kecerdasannya jelas jika Anda melihat jendela palsu pada sistem operasi yang berbeda, seperti Linux, karena Anda mendapatkan jendela Firefox seperti Linux dengan "jendela" seperti Mac di dalamnya.

Komponen "window dressing" palsu benar-benar menonjol seperti gambar aslinya:

Apakah Anda akan menyukainya?

Jika Anda pernah mengambil tangkapan layar aplikasi, dan kemudian membuka tangkapan layar nanti di penampil foto Anda, kami berani bertaruh bahwa pada titik tertentu Anda telah menipu diri sendiri untuk memperlakukan gambar aplikasi seolah-olah itu adalah salinan berjalan dari aplikasi itu sendiri.

Kami akan bertaruh bahwa Anda telah mengklik atau mengetuk gambar aplikasi dalam aplikasi setidaknya satu dalam hidup Anda, dan mendapati diri Anda bertanya-tanya mengapa aplikasi tidak berfungsi. (Oke, mungkin Anda belum melakukannya, tapi kami pasti pernah, sampai pada titik kebingungan yang sebenarnya.)

Tentu saja, jika Anda mengeklik tangkapan layar aplikasi di dalam peramban foto, risiko Anda sangat kecil, karena klik atau ketukan tidak akan melakukan apa yang Anda harapkan – memang, Anda mungkin akan menyunting atau mencoret-coret garis pada gambar. alih-alih.

Tapi jika menyangkut a browser-di-browser “serangan karya seni” sebagai gantinya, klik atau ketukan yang salah arah di jendela simulasi bisa berbahaya, karena Anda masih berada di jendela browser aktif, tempat JavaScript sedang dimainkan, dan tautan masih berfungsi…

…Anda tidak berada di jendela browser yang Anda pikirkan, dan Anda juga tidak berada di situs web yang Anda pikirkan.

Lebih buruk lagi, JavaScript apa pun yang berjalan di jendela browser aktif (yang berasal dari situs penipu asli yang Anda kunjungi) dapat mensimulasikan beberapa perilaku yang diharapkan dari jendela popup browser asli untuk menambahkan realisme, seperti menyeretnya, mengubah ukurannya, dan lagi.

Seperti yang kami katakan di awal, jika Anda sedang menunggu jendela sembulan yang sebenarnya, dan Anda melihat sesuatu yang seperti jendela sembulan, lengkap dengan tombol browser realistis ditambah bilah alamat yang sesuai dengan apa yang Anda harapkan, dan Anda sedikit terburu-buru…

…kami dapat sepenuhnya memahami bagaimana Anda mungkin salah mengenali jendela palsu sebagai jendela asli.

Game Uap ditargetkan

Di Grup-IB penelitian kami sebutkan di atas, serangan BinB dunia nyata yang ditemukan oleh para peneliti menggunakan Steam Games sebagai umpan.

Situs yang terlihat sah, meskipun belum pernah Anda dengar sebelumnya, akan menawarkan Anda kesempatan untuk memenangkan tempat di turnamen game yang akan datang, misalnya…

…dan ketika situs tersebut mengatakan bahwa itu memunculkan jendela browser terpisah yang berisi halaman login Steam, itu benar-benar menampilkan jendela palsu browser-in-the-browser sebagai gantinya.

Para peneliti mencatat bahwa penyerang tidak hanya menggunakan tipuan BitB untuk mencari nama pengguna dan kata sandi, tetapi juga mencoba mensimulasikan popup Steam Guard yang meminta kode otentikasi dua faktor juga.

Untungnya, tangkapan layar yang disajikan oleh Group-IB menunjukkan bahwa penjahat yang mereka temui dalam kasus ini tidak terlalu berhati-hati dengan aspek seni dan desain penipuan mereka, sehingga sebagian besar pengguna mungkin melihat pemalsuan tersebut.

Tetapi bahkan pengguna yang terinformasi dengan baik sedang terburu-buru, atau seseorang yang menggunakan browser atau sistem operasi yang tidak mereka kenal, seperti di rumah teman, mungkin tidak menyadari ketidakakuratan.

Juga, penjahat yang lebih cerewet hampir pasti akan menghasilkan konten palsu yang lebih realistis, dengan cara yang sama bahwa tidak semua scammer email membuat kesalahan ejaan dalam pesan mereka, sehingga berpotensi membuat lebih banyak orang memberikan kredensial akses mereka.

Apa yang harus dilakukan?

Berikut tiga tipsnya:

• Jendela browser-in-the-Browser bukanlah jendela browser yang sebenarnya. Meskipun mungkin tampak seperti jendela tingkat sistem operasi, dengan tombol dan ikon yang terlihat seperti aslinya, mereka tidak berperilaku seperti jendela sistem operasi. Mereka berperilaku seperti halaman web, karena memang begitulah adanya. Jika Anda curiga, coba seret jendela tersangka di luar jendela browser utama yang berisi itu. Jendela browser yang sebenarnya akan berperilaku secara independen, sehingga Anda dapat memindahkannya ke luar dan di luar jendela browser asli. Jendela browser palsu akan "dipenjara" di dalam jendela aslinya, bahkan jika penyerang telah menggunakan JavaScript untuk mencoba mensimulasikan sebanyak mungkin perilaku yang tampak asli. Ini akan dengan cepat menunjukkan bahwa itu adalah bagian dari halaman web, bukan jendela yang sebenarnya.
• Periksa jendela tersangka dengan hati-hati. Mengejek tampilan dan nuansa jendela sistem operasi di dalam halaman web secara realistis mudah dilakukan dengan buruk, tetapi sulit dilakukan dengan baik. Luangkan beberapa detik ekstra untuk mencari tanda-tanda pemalsuan dan inkonsistensi.
• Jika ragu, jangan berikan. Waspadalah terhadap situs yang belum pernah Anda dengar, dan bahwa Anda tidak memiliki alasan untuk percaya, yang tiba-tiba ingin Anda masuk melalui situs pihak ketiga.

Jangan pernah terburu-buru, karena meluangkan waktu Anda akan membuat Anda lebih kecil kemungkinannya untuk melihat apa yang Anda lihat berpikir apakah ada alih-alih apa yang melihat apa yang sebenarnya is ada.

Dalam tiga kata: Berhenti. Memikirkan. Menghubung.

---

Gambar unggulan dari foto jendela aplikasi yang berisi gambar foto "La Trahison des Images" Magritte yang dibuat melalui Wikipedia.

---