Forskere ved trusseletterretningsselskapet Group-IB skrev nettopp et spennende historie fra det virkelige liv om et irriterende enkelt, men overraskende effektivt phishing-triks kjent som BitB, kort for nettleser-i-nettleseren.
Du har sikkert hørt om flere typer X-in-the-Y-angrep før, spesielt MITM og MitB, kort for manipulator-i-midten og manipulator-i-nettleseren.
I et MitM-angrep plasserer angriperne som ønsker å lure deg seg et sted "i midten" av nettverket, mellom datamaskinen din og serveren du prøver å nå.
(De er kanskje ikke bokstavelig talt i midten, verken geografisk eller humlemessig, men MitM-angripere er et sted langs ruten, ikke rett i noen ende.)
Tanken er at i stedet for å måtte bryte seg inn på datamaskinen din, eller inn på serveren i den andre enden, lokker de deg til å koble til dem i stedet (eller bevisst manipulere nettverksbanen din, som du ikke enkelt kan kontrollere når pakkene dine avsluttes fra din egen ruter), og så later de som om de er den andre enden – en ondsinnet proxy, hvis du vil.
De sender pakkene dine videre til den offisielle destinasjonen, snoker på dem og kanskje fikler med dem på veien, og mottar deretter de offisielle svarene, som de kan snoke på og justere for andre gang, og sende dem tilbake til deg som om du. d koblet ende-til-ende akkurat slik du forventet.
Hvis du ikke bruker ende-til-ende-kryptering som HTTPS for å beskytte både konfidensialiteten (ingen snoking!) og integriteten (ingen tukling!) til trafikken, er det usannsynlig at du vil legge merke til det, eller til og med være i stand til å oppdage at noen andre har dampet opp de digitale brevene dine under transport, og deretter forseglet dem igjen etterpå.
Angriper i den ene enden
A MitB angrep har som mål å fungere på en lignende måte, men å omgå problemet forårsaket av HTTPS, noe som gjør et MitM-angrep mye vanskeligere.
MitM-angripere kan ikke uten videre forstyrre trafikk som er kryptert med HTTPS: de kan ikke snoke på dataene dine, fordi de ikke har de kryptografiske nøklene som brukes av hver ende for å beskytte dem; de kan ikke endre de krypterte dataene, fordi den kryptografiske verifiseringen i hver ende vil da slå alarm; og de kan ikke late som om de er serveren du kobler til fordi de ikke har den kryptografiske hemmeligheten som serveren bruker for å bevise sin identitet.
Et MitB-angrep er derfor vanligvis avhengig av å snike skadevare inn på datamaskinen din først.
Det er generelt vanskeligere enn å bare trykke på nettverket på et tidspunkt, men det gir angriperne en stor fordel hvis de klarer det.
Det er fordi, hvis de kan sette seg inn i nettleseren din, får de se og endre nettverkstrafikken din før nettleseren din krypterer den for sending, som kansellerer utgående HTTPS-beskyttelse, og etter at nettleseren din dekrypterer den på vei tilbake, og dermed ugyldiggjøre krypteringen som brukes av serveren for å beskytte svarene.
Hva med en BitB?
Men hva med a BitB angrep?
Nettleser-i-nettleseren er ganske munnfull, og triksingen det er snakk om gir ikke nettkriminelle på langt nær like mye makt som et MitM eller et MitB-hack, men konseptet er panneslappende enkelt, og hvis du har det for travelt, er det overraskende nok lett å falle for det.
Ideen med et BitB-angrep er å lage noe som ser ut som et popup-nettleservindu som ble generert sikkert av nettleseren selv, men det er faktisk ikke noe mer enn en nettside som ble gjengitt i et eksisterende nettleservindu.
Du tror kanskje at denne typen lureri ville være dømt til å mislykkes, ganske enkelt fordi alt innhold på side X som utgir seg for å være fra side Y vil dukke opp i selve nettleseren som kommer fra en URL på side X.
Et blikk på adressefeltet vil gjøre det åpenbart at du blir løyet for, og at det du ser på sannsynligvis er et phishing-nettsted.
Fiende eksempel, her er et skjermbilde av example.com nettsted, tatt i Firefox på en Mac:
Hvis angripere lokket deg til et falskt nettsted, kan du falle for det visuelle hvis de kopierte innholdet tett, men adressefeltet ville gi bort at du ikke var på nettstedet du lette etter.
I en nettleser-i-nettleser-svindel er derfor angriperens mål å lage et vanlig nett. side som ser ut som nettet nettsted og innhold du forventer, komplett med vindusdekorasjoner og adressefeltet, simulert så realistisk som mulig.
På en måte handler et BitB-angrep mer om kunst enn om vitenskap, og det handler mer om webdesign og å administrere forventninger enn om nettverkshacking.
For eksempel, hvis vi lager to skjermskrapte bildefiler som ser slik ut...
...deretter HTML så enkelt som det du ser nedenfor...
<html>
<body>
<div>
<div><img src='./fake-top.png'></div>
<p>
<div><img src='./fake-bot.png'></div>
</div>
</body>
</html>
… vil lage noe som ser ut som et nettleservindu i et eksisterende nettleservindu, slik:
en nettside som SER UT SOM et nettleservindu.
I dette svært grunnleggende eksemplet vil de tre macOS-knappene (lukk, minimer, maksimer) øverst til venstre ikke gjøre noe, fordi de ikke er operativsystemknapper, de er bare bilder av knapper, og adresselinjen i det som ser ut som et Firefox-vindu kan ikke klikkes inn eller redigeres, fordi det også er bare et skjermbilde.
Men hvis vi nå legger til en IFRAME i HTML-en vi viste ovenfor, for å suge inn falskt innhold fra et nettsted som ikke har noe å gjøre med example.com, som dette…
<html>
<body>
<div>
<div><img src='./fake-top.png' /></div>
<div><iframe src='https:/dodgy.test/phish.html' frameBorder=0 width=650 height=220></iframe></div>
<div><img src='./fake-bot.png' /></div>
</div>
</body>
</html>
...du må innrømme at det resulterende visuelle innholdet ser ut akkurat som et frittstående nettleservindu, selv om det faktisk er en nettside i et annet nettleservindu.
Tekstinnholdet og den klikkbare lenken du ser nedenfor ble lastet ned fra dodgy.test HTTPS-kobling i HTML-filen ovenfor, som inneholdt denne HTML-koden:
<html>
<body style='font-family:sans-serif'>
<div style='width:530px;margin:2em;padding:0em 1em 1em 1em;'>
<h1>Example Domain</h1>
<p>This window is a simulacrum of the real website,
but it did not come from the URL shown above.
It looks as though it might have, though, doesn't it?
<p><a href='https://dodgy.test/phish.click'>Bogus information...</a>
</div>
</body>
</html>
Det grafiske innholdet topping og tailing HTML-teksten gjør at det ser ut som om HTML-en virkelig kom fra example.com, takket være skjermbildet av adressefeltet øverst:
Midten. Forfalskning via IFRAME nedlasting.
Bunn. Bilde runder av det falske vinduet.
Kunsten er åpenbar hvis du ser det falske vinduet på et annet operativsystem, for eksempel Linux, fordi du får et Linux-lignende Firefox-vindu med et Mac-lignende "vindu" inni seg.
De falske "window dressing"-komponentene skiller seg virkelig ut som bildene de egentlig er:
med selve vinduskontrollene og adressefeltet helt øverst.
Ville du falle for det?
Hvis du noen gang har tatt skjermbilder av apper, og deretter åpnet skjermbildene senere i bildeviseren, er vi villige til å satse på at du på et tidspunkt har lurt deg selv til å behandle appens bilde som om det var en løpende kopi av selve appen.
Vi satser på at du har klikket på eller trykket på et app-i-en-app-bilde minst ett i livet ditt, og lurer på hvorfor appen ikke fungerte. (OK, kanskje du ikke har det, men det har vi absolutt, til det punktet av ekte forvirring.)
Selvfølgelig, hvis du klikker på et appskjermbilde i en fotonettleser, er du i svært liten risiko, fordi klikkene eller trykkene rett og slett ikke vil gjøre det du forventer - faktisk kan du ende opp med å redigere eller skrive linjer på bildet i stedet.
Men når det gjelder a nettleser-i-nettleseren "kunstverksangrep" i stedet kan feildirigerte klikk eller trykk i et simulert vindu være farlig, fordi du fortsatt er i et aktivt nettleservindu, der JavaScript er i spill, og hvor lenker fortsatt fungerer...
…du er bare ikke i nettleservinduet du trodde, og du er ikke på nettstedet du trodde heller.
Enda verre, noe JavaScript som kjører i det aktive nettleservinduet (som kom fra det opprinnelige bedragernettstedet du besøkte) kan simulere noe av den forventede oppførselen til et ekte nettleser-popup-vindu for å legge til realisme, for eksempel å dra det, endre størrelse på det og mer.
Som vi sa i starten, hvis du venter på et ekte popup-vindu, og du ser noe som ser ut som et popup-vindu, komplett med realistiske nettleserknapper pluss en adresselinje som samsvarer med det du forventet, og du har det litt travelt...
…vi kan fullt ut forstå hvordan du kan feilkjenne det falske vinduet som et ekte.
Steam Games målrettet
I Group-IB forskning vi nevnte ovenfor, brukte det virkelige BinB-angrepet som forskerne kom over, Steam Games som lokkemiddel.
Et nettsted som ser lovlig ut, selv om du aldri har hørt om før, vil gi deg en sjanse til å vinne plasser i en kommende spillturnering, for eksempel...
…og da nettstedet sa at det dukket opp et eget nettleservindu som inneholder en Steam-påloggingsside, presenterte det virkelig et falskt nettleservindu i stedet.
Forskerne bemerket at angriperne ikke bare brukte BitB-triks for å gå etter brukernavn og passord, men også prøvde å simulere Steam Guard-popups som ba om tofaktorautentiseringskoder.
Heldigvis viste skjermbildene presentert av Group-IB at de kriminelle de traff på i dette tilfellet ikke var veldig forsiktige med kunst- og designaspektene ved svindelen deres, så de fleste brukere oppdaget sannsynligvis falsken.
Men selv en velinformert bruker som har det travelt, eller noen som bruker en nettleser eller et operativsystem de ikke var kjent med, for eksempel hjemme hos en venn, har kanskje ikke lagt merke til unøyaktighetene.
Dessuten vil mer kresne kriminelle nesten helt sikkert komme med mer realistisk falskt innhold, på samme måte som ikke alle e-postsvindlere gjør stavefeil i meldingene sine, og dermed potensielt føre til at flere mennesker gir fra seg tilgangsopplysningene sine.
Hva gjør jeg?
Her er tre tips:
- Nettleser-i-nettleser-vinduer er ikke ekte nettleservinduer. Selv om de kan virke som vinduer på operativsystemnivå, med knapper og ikoner som ser akkurat ut som den virkelige varen, oppfører de seg ikke som operativsystemvinduer. De oppfører seg som nettsider, fordi det er det de er. Hvis du er mistenksom, prøv å dra det mistenkte vinduet utenfor hovednettleservinduet som inneholder det. Et ekte nettleservindu vil oppføre seg uavhengig, slik at du kan flytte det utenfor og utenfor det opprinnelige nettleservinduet. Et falskt nettleservindu vil bli "fengslet" inne i det virkelige vinduet det vises i, selv om angriperen har brukt JavaScript for å prøve å simulere så mye ekte oppførsel som mulig. Dette vil raskt gi bort at det er en del av en nettside, ikke et ekte vindu i seg selv.
- Undersøk mistenkte vinduer nøye. Realistisk hån av utseendet og følelsen til et operativsystemvindu inne på en nettside er lett å gjøre dårlig, men vanskelig å gjøre det bra. Bruk de ekstra sekundene på å se etter avslørende tegn på forfalskning og inkonsekvens.
- Hvis du er i tvil, ikke gi den ut. Vær mistenksom overfor nettsteder du aldri har hørt om, og som du ikke har noen grunn til å stole på, som plutselig vil at du skal logge på via en tredjepartsside.
Aldri ha det travelt, for å ta deg tid vil gjøre det mye mindre sannsynlig at du ser det du tror er der i stedet for hva ser hva faktisk is der.
Med tre ord: Stoppe. Synes at. Koble.
Utvalgt bilde av bilde av appvindu som inneholder bilde av bilde av Magrittes "La Trahison des Images" laget via Wikipedia.
- BitB
- blockchain
- coingenius
- cryptocurrency lommebøker
- kryptoverveksling
- cybersikkerhet
- nettkriminelle
- Cybersecurity
- Data Loss
- innenriksdepartementet
- digitale lommebøker
- brannmur
- Kaspersky
- malware
- Mcafee
- MitB
- MITM
- Naken sikkerhet
- NexBLOC
- phishing
- plato
- plato ai
- Platon Data Intelligence
- Platon spill
- PlatonData
- platogaming
- Svindel
- VPN
- nettside sikkerhet
- zephyrnet
