위협 정보 회사 Group-IB의 연구원들이 흥미로운 글을 작성했습니다. 실화 짜증날 정도로 간단하지만 놀랍도록 효과적인 피싱 트릭에 대해 비트비, 짧은 브라우저 내 브라우저.
이전에 여러 유형의 X-in-the-Y 공격에 대해 들어본 적이 있을 것입니다. MitM 와 미트비, 짧은 중간에 조작자 와 브라우저 내 조작자.
MitM 공격에서 사용자를 속이려는 공격자는 사용자의 컴퓨터와 도달하려는 서버 사이의 네트워크 "중간" 어딘가에 자신을 위치시킵니다.
(그들은 문자 그대로 지리적으로나 홉 측면에서 중간에 있지 않을 수 있지만 MitM 공격자는 어딘가에 있습니다. 따라 경로, 양쪽 끝이 아닙니다.)
아이디어는 컴퓨터에 침입하거나 다른 쪽 끝에 있는 서버에 침입하는 대신 사용자가 대신 연결하도록 유인한다는 것입니다. 자신의 라우터), 그런 다음 원하는 경우 악의적인 프록시인 것처럼 가장합니다.
그들은 당신의 패킷을 공식 목적지로 전달하고, 그것을 스누핑하고 아마도 도중에 만지작거리고 있을 것이고, 그런 다음 그들은 스누핑하고 두 번째로 조정할 수 있고, 당신이 마치 당신에게 그것들을 다시 전달할 수 있는 공식 응답을 수신합니다. d 예상대로 종단 간 연결되었습니다.
트래픽의 기밀성(스누핑 금지!)과 무결성(변조 금지!)을 모두 보호하기 위해 HTTPS와 같은 종단 간 암호화를 사용하지 않는다면 눈치채지 못하거나 다른 사람이 전송 중에 디지털 편지를 개봉한 다음 나중에 다시 봉인했다는 사실을 감지합니다.
한쪽 끝에서 공격
A 미트비 공격은 유사한 방식으로 작동하지만 MitM 공격을 훨씬 더 어렵게 만드는 HTTPS로 인한 문제를 회피하는 것을 목표로 합니다.
MitM 공격자는 HTTPS로 암호화된 트래픽을 쉽게 방해할 수 없습니다. 데이터를 보호하기 위해 양쪽 끝에서 사용하는 암호화 키가 없기 때문에 데이터를 스누핑할 수 없습니다. 암호화된 데이터를 변경할 수 없습니다. 각 끝에서 암호화 확인이 경보를 발생시키기 때문입니다. 그리고 그들은 서버가 자신의 신원을 증명하는 데 사용하는 암호화 비밀이 없기 때문에 연결하는 서버인 것처럼 가장할 수 없습니다.
따라서 MitB 공격은 일반적으로 먼저 컴퓨터에 맬웨어를 몰래 잠입하는 것에 의존합니다.
이는 일반적으로 어느 시점에서 단순히 네트워크에 접근하는 것보다 더 어렵지만 공격자가 이를 관리할 수 있다면 엄청난 이점을 제공합니다.
왜냐하면 그들이 당신의 브라우저에 바로 삽입할 수 있다면 당신의 네트워크 트래픽을 보고 수정할 수 있기 때문입니다. 브라우저가 암호화하기 전에 발신 HTTPS 보호를 취소하는 전송용 브라우저가 암호를 해독한 후 돌아오는 길에 서버가 응답을 보호하기 위해 적용한 암호화를 무효화합니다.
BitB는 어떻습니까?
하지만 어쩌지 비트비 공격?
브라우저 내 브라우저 한 입 가득 채우고 관련된 속임수는 MitM이나 MitB 해킹만큼 많은 권한을 사이버 범죄자들에게 제공하지 않지만 개념은 매우 간단합니다. 너무 서두르면 놀랍게도 그것에 빠지기 쉽습니다.
BitB 공격의 아이디어는 브라우저 자체에서 안전하게 생성된 팝업 브라우저 창처럼 보이는 것을 만드는 것이지만 실제로는 기존 브라우저 창에서 렌더링된 웹 페이지에 불과합니다.
이러한 종류의 속임수는 실패할 운명이라고 생각할 수 있습니다. 단순히 사이트 Y에서 온 것처럼 가장하는 사이트 X의 모든 콘텐츠가 사이트 X의 URL에서 온 것으로 브라우저 자체에 표시되기 때문입니다.
주소 표시줄을 한 번만 보면 거짓말을 하고 있고 보고 있는 것이 피싱 사이트일 가능성이 높다는 것을 알 수 있습니다.
적의 예는 다음과 같습니다. example.com Mac의 Firefox에서 가져온 웹사이트:
공격자가 사용자를 가짜 사이트로 유인한 경우 콘텐츠를 밀접하게 복사하면 시각적인 요소에 빠질 수 있지만 주소 표시줄은 사용자가 찾고 있는 사이트에 없다는 사실을 알려줍니다.
따라서 Browser-in-the-Browser 사기에서 공격자의 목표는 일반 웹 사이트를 만드는 것입니다. 페이지 그것은 웹처럼 보인다 사이트 및 콘텐츠 가능한 한 사실적으로 시뮬레이트된 창 장식과 주소 표시줄로 완성된 것으로 예상됩니다.
어떤 면에서 BitB 공격은 과학보다 예술에 가깝고 네트워크 해킹보다 웹 디자인 및 기대 관리에 더 가깝습니다.
예를 들어 다음과 같은 두 개의 화면 스크랩 이미지 파일을 생성하면…
...아래에 보이는 것처럼 간단한 HTML...
<html>
<body>
<div>
<div><img src='./fake-top.png'></div>
<p>
<div><img src='./fake-bot.png'></div>
</div>
</body>
</html>
... 다음과 같이 기존 브라우저 창 안에 브라우저 창처럼 보이는 것을 생성합니다.
브라우저 창처럼 보이는 웹페이지.
이 매우 기본적인 예에서 왼쪽 상단에 있는 세 개의 macOS 버튼(닫기, 최소화, 최대화)은 아무 것도 하지 않습니다. 버튼 사진, 그리고 Firefox 창처럼 보이는 주소 표시줄은 클릭하거나 편집할 수 없습니다. 그냥 스크린샷.
그러나 이제 위에서 보여준 HTML에 IFRAME를 추가하면 example.com, 이와 같이…
<html>
<body>
<div>
<div><img src='./fake-top.png' /></div>
<div><iframe src='https:/dodgy.test/phish.html' frameBorder=0 width=650 height=220></iframe></div>
<div><img src='./fake-bot.png' /></div>
</div>
</body>
</html>
… 결과로 나오는 시각적 콘텐츠가 독립형 브라우저 창과 정확히 동일, 비록 그것이 실제로 다른 브라우저 창 안의 웹 페이지.
아래에 보이는 텍스트 내용과 클릭 가능한 링크는 다음 사이트에서 다운로드한 것입니다. dodgy.test 이 HTML 코드가 포함된 위 HTML 파일의 HTTPS 링크:
<html>
<body style='font-family:sans-serif'>
<div style='width:530px;margin:2em;padding:0em 1em 1em 1em;'>
<h1>Example Domain</h1>
<p>This window is a simulacrum of the real website,
but it did not come from the URL shown above.
It looks as though it might have, though, doesn't it?
<p><a href='https://dodgy.test/phish.click'>Bogus information...</a>
</div>
</body>
</html>
HTML 텍스트의 토핑과 테일링을 통해 그래픽 콘텐츠는 HTML이 실제로 다음에서 온 것처럼 보입니다. example.com, 상단에 있는 주소 표시줄의 스크린샷 덕분에:
가운데. IFRAME 다운로드를 통한 Fakery.
맨 아래. 이미지는 가짜 창을 반올림합니다.
Linux와 같은 다른 운영 체제에서 가짜 창을 보면 그 속임수가 분명합니다. 그 안에 Mac과 같은 "창"이 있는 Linux와 같은 Firefox 창이 있기 때문입니다.
가짜 "창문 드레싱" 구성 요소는 실제 이미지와 같이 실제로 두드러집니다.
맨 위에는 실제 창 컨트롤과 주소 표시줄이 있습니다.
당신은 그것에 빠지겠습니까?
앱의 스크린샷을 찍은 다음 나중에 사진 뷰어에서 스크린샷을 연 적이 있다면 어느 시점에서 앱의 사진을 실행 중인 복사본인 것처럼 처리하도록 자신을 속였을 것입니다. 앱 자체.
우리는 당신이 당신의 인생에서 적어도 하나의 앱 인앱 이미지를 클릭하거나 탭한 적이 있고 앱이 작동하지 않는 이유를 궁금해하는 자신을 발견했을 것이라고 베팅합니다. (좋아요, 아마도 당신은 그렇지 않을 수도 있지만, 우리는 확실히 혼란스러워합니다.)
물론, 사진 브라우저 내에서 앱 스크린샷을 클릭하면 클릭이나 탭이 예상한 대로 작동하지 않기 때문에 위험이 거의 없습니다. 실제로 이미지의 선을 편집하거나 낙서하게 될 수 있습니다. 대신에.
그러나 그것에 관해서 브라우저 내 브라우저 대신 "아트워크 공격" 대신에, 시뮬레이션된 창에서 잘못된 방향으로 클릭하거나 탭하는 것은 위험할 수 있습니다. JavaScript가 실행되고 링크가 계속 작동하는 활성 브라우저 창에 있기 때문입니다...
...당신은 당신이 생각했던 브라우저 창에 있지 않고, 당신이 생각한 웹사이트에도 없습니다.
설상가상으로 활성 브라우저 창에서 실행되는 JavaScript(방문한 원래 사기 사이트에서 가져온 것)는 실제 브라우저 팝업 창을 드래그, 크기 조정 및 더.
처음에 말했듯이 실제 팝업 창을 기다리고 있을 때 모양 사실적인 브라우저 버튼과 기대했던 것과 일치하는 주소 표시줄이 있는 팝업 창, 그리고 당신은 조금 서두릅니다…
… 가짜 창을 진짜 창으로 오인하는 방법을 충분히 이해할 수 있습니다.
Steam 게임 타겟
그룹-IB에서 연구 위에서 언급했듯이 연구원들이 발생한 실제 BinB 공격은 Steam 게임을 미끼로 사용했습니다.
합법적으로 보이는 사이트는 한 번도 들어본 적이 없지만 다가오는 게임 토너먼트에서 우승할 수 있는 기회를 제공합니다. 예를 들어…
… 그리고 사이트에서 Steam 로그인 페이지가 포함된 별도의 브라우저 창을 표시한다고 했을 때 실제로 브라우저에 내장된 가짜 창을 표시했습니다.
연구원들은 공격자가 BitB 속임수를 사용하여 사용자 이름과 비밀번호를 찾는 것뿐만 아니라 이중 인증 코드를 요청하는 Steam Guard 팝업도 시뮬레이션하려고 시도했다고 밝혔습니다.
다행스럽게도 Group-IB에서 제공한 스크린샷은 이 사건에서 발생한 범죄자들이 사기의 예술과 디자인 측면에 대해 크게 주의를 기울이지 않았음을 보여주었으므로 대부분의 사용자는 아마도 사기를 발견했을 것입니다.
그러나 정보가 풍부한 사용자라도 서둘러서 또는 친구 집과 같이 익숙하지 않은 브라우저나 운영 체제를 사용하는 사람이라도 부정확성을 알아차리지 못했을 수 있습니다.
또한 모든 이메일 사기꾼이 메시지에서 철자 오류를 범하지 않아 잠재적으로 더 많은 사람들이 액세스 자격 증명을 제공하는 것과 같은 방식으로 더 까다로운 범죄자가 더 현실적인 가짜 콘텐츠를 만들어낼 것입니다.
무엇을해야 하는가?
다음은 세 가지 팁입니다.
- Browser-in-the-Browser 창은 실제 브라우저 창이 아닙니다. 버튼과 아이콘이 실제처럼 보이는 운영 체제 수준 창처럼 보이지만 운영 체제 창처럼 작동하지 않습니다. 웹 페이지처럼 작동합니다. 의심스럽다면, 의심되는 창을 포함하는 기본 브라우저 창 외부로 끌어보십시오.. 실제 브라우저 창은 독립적으로 작동하므로 원래 브라우저 창 외부 및 외부로 이동할 수 있습니다. 공격자가 JavaScript를 사용하여 최대한 실제처럼 보이는 동작을 시뮬레이션하려고 해도 가짜 브라우저 창은 표시되는 실제 창 안에 "감금"됩니다. 이것은 그 자체로 진정한 창이 아니라 웹 페이지의 일부라는 것을 빠르게 알려줄 것입니다.
- 의심되는 창을 주의 깊게 검사하십시오. 웹 페이지 내에서 운영 체제 창의 모양과 느낌을 현실적으로 조롱하는 것은 하기 쉽지만 잘 하기는 어렵습니다. 가짜와 불일치의 명백한 징후를 찾기 위해 몇 초를 더 투자하십시오.
- 의심스러우면 내놓지 마십시오. 들어본 적이 없고 신뢰할 이유가 없는 사이트를 의심하여 갑자기 타사 사이트를 통해 로그인하도록 합니다.
서두르지 마십시오. 시간을 들이면 자신이 보고 있는 것을 볼 가능성이 훨씬 줄어들기 때문입니다. 생각 실제로 무엇을 보는 것 대신에 is 그곳에.
세 단어로: 중지. 생각한다. 연결하다.
Magritte의 "La Trahison des Images"를 통해 만든 사진 이미지가 포함된 앱 창 사진의 주요 이미지 위키 백과.
