Badacze z firmy Group-IB zajmującej się wywiadem zagrożeń napisali właśnie intrygujące prawdziwa historia o irytująco prostej, ale zaskakująco skutecznej sztuczce phishingowej znanej jako BitB, skrót od przeglądarka-w-przeglądarce.
Prawdopodobnie słyszałeś już o kilku rodzajach ataku X-in-the-Y, w szczególności Dzięki M. i MitB, skrót od manipulator-w-środku i manipulator-w-przegladarce.
W ataku MitM napastnicy, którzy chcą cię oszukać, znajdują się gdzieś „pośrodku” sieci, między twoim komputerem a serwerem, do którego próbujesz się dostać.
(Może nie są dosłownie pośrodku, ani geograficznie, ani pod względem chmielu, ale atakujący MitM są gdzieś wzdłuż trasa, a nie na obu końcach.)
Chodzi o to, że zamiast włamywać się do twojego komputera lub serwera na drugim końcu, kuszą cię do połączenia się z nimi (lub celowo manipulują ścieżką sieciową, której nie możesz łatwo kontrolować po wyjściu pakietów z własnego routera), a następnie udają, że są drugim końcem – wrogim proxy, jeśli chcesz.
Przekazują twoje pakiety do oficjalnego miejsca przeznaczenia, podglądają je i być może bawią się nimi po drodze, a następnie otrzymują oficjalne odpowiedzi, które mogą podsłuchiwać i poprawiać po raz drugi, a następnie przekazywać je z powrotem tak, jakbyś ty. d podłączony end-to-end, tak jak oczekiwałeś.
Jeśli nie używasz szyfrowania typu end-to-end, takiego jak HTTPS, w celu ochrony zarówno poufności (bez podsłuchiwania!), jak i integralności (bez manipulacji!) ruchu, prawdopodobnie nie zauważysz, a nawet nie będziesz w stanie tego wykryj, że ktoś inny otwierał Twoje cyfrowe listy podczas przesyłania, a następnie ponownie je zaklejał.
Atak na jednym końcu
A MitB atak ma działać w podobny sposób, ale ominąć problem powodowany przez HTTPS, co znacznie utrudnia atak MitM.
Atakujący MitM nie mogą łatwo ingerować w ruch zaszyfrowany za pomocą protokołu HTTPS: nie mogą podsłuchiwać Twoich danych, ponieważ nie mają kluczy kryptograficznych używanych na każdym końcu do ich ochrony; nie mogą zmienić zaszyfrowanych danych, ponieważ weryfikacja kryptograficzna na każdym końcu podniosłaby alarm; i nie mogą udawać serwera, z którym się łączysz, ponieważ nie mają sekretu kryptograficznego, którego serwer używa do udowodnienia swojej tożsamości.
Atak MitB zazwyczaj polega zatem na tym, że najpierw wkrada się złośliwe oprogramowanie na komputer.
Jest to generalnie trudniejsze niż zwykłe podłączenie się do sieci w pewnym momencie, ale daje atakującym ogromną przewagę, jeśli potrafią sobie z tym poradzić.
Dzieje się tak dlatego, że jeśli mogą wstawić się bezpośrednio do przeglądarki, mogą zobaczyć i zmodyfikować ruch sieciowy zanim Twoja przeglądarka go zaszyfruje do wysyłania, co anuluje wszelkie wychodzące zabezpieczenia HTTPS, oraz po odszyfrowaniu przez przeglądarkę w drodze powrotnej, anulując w ten sposób szyfrowanie zastosowane przez serwer w celu ochrony jego odpowiedzi.
Co z BitB?
Ale co z? BitB atak?
Przeglądarka w przeglądarce jest dość kęsowy, a zastosowane sztuczki nie dają cyberprzestępcom nawet takiej mocy, jak włamanie na MitM lub MitB, ale koncepcja jest banalnie prosta, a jeśli zbytnio się spieszy, jest to zaskakujące łatwo się na to nabrać.
Ideą ataku BitB jest stworzenie czegoś, co wygląda jak wyskakujące okno przeglądarki, które zostało bezpiecznie wygenerowane przez samą przeglądarkę, ale w rzeczywistości jest to nic innego jak strona internetowa, która została wyrenderowana w istniejącym oknie przeglądarki.
Można by pomyśleć, że tego rodzaju sztuczka byłaby skazana na niepowodzenie, po prostu dlatego, że każda treść w witrynie X, która udaje, że pochodzi z witryny Y, pojawi się w samej przeglądarce jako pochodząca z adresu URL w witrynie X.
Jedno spojrzenie na pasek adresu pokaże, że ktoś Cię okłamuje i że wszystko, na co patrzysz, jest prawdopodobnie witryną phishingową.
Przykład wroga, oto zrzut ekranu of example.com strona internetowa, zrobione w Firefoksie na Macu:
Jeśli atakujący zwabił Cię na fałszywą witrynę, możesz zakochać się w wizualizacjach, jeśli dokładnie skopiowali zawartość, ale pasek adresu zdradziłby, że nie było Cię w witrynie, której szukasz.
W oszustwie Browser-in-the-Browser celem atakującego jest stworzenie zwykłej sieci strona który wygląda jak sieć strona i treść oczekujesz, wraz z dekoracjami okien i paskiem adresu, symulowane tak realistycznie, jak to tylko możliwe.
W pewnym sensie atak BitB dotyczy bardziej sztuki niż nauki i bardziej dotyczy projektowania stron internetowych i zarządzania oczekiwaniami niż hakowania sieci.
Na przykład, jeśli utworzymy dwa pliki obrazów ze zrzutami ekranu, które wyglądają tak…
…następnie HTML tak prosty, jak to, co widzisz poniżej…
<html>
<body>
<div>
<div><img src='./fake-top.png'></div>
<p>
<div><img src='./fake-bot.png'></div>
</div>
</body>
</html>
…stworzy coś, co wygląda jak okno przeglądarki w istniejącym oknie przeglądarki, w ten sposób:
strona, która WYGLĄDA JAK okno przeglądarki.
W tym bardzo podstawowym przykładzie trzy przyciski macOS (zamknij, minimalizuj, maksymalizuj) w lewym górnym rogu nic nie zrobią, ponieważ nie są to przyciski systemu operacyjnego, to tylko zdjęcia przycisków, a paska adresu, który wygląda jak okno Firefoksa, nie można kliknąć ani edytować, ponieważ on również jest tylko zrzut ekranu.
Ale jeśli teraz dodamy ramkę IFRAME do kodu HTML, który pokazaliśmy powyżej, aby zassać fałszywą treść z witryny, która nie ma z nią nic wspólnego example.com, lubię to…
<html>
<body>
<div>
<div><img src='./fake-top.png' /></div>
<div><iframe src='https:/dodgy.test/phish.html' frameBorder=0 width=650 height=220></iframe></div>
<div><img src='./fake-bot.png' /></div>
</div>
</body>
</html>
…musisz przyznać, że wynikowa treść wizualna wygląda dokładnie jak samodzielne okno przeglądarki, mimo że w rzeczywistości jest to strona internetowa w innym oknie przeglądarki.
Treść tekstowa i klikalny link, który widzisz poniżej, zostały pobrane z dodgy.test Link HTTPS w powyższym pliku HTML, który zawierał ten kod HTML:
<html>
<body style='font-family:sans-serif'>
<div style='width:530px;margin:2em;padding:0em 1em 1em 1em;'>
<h1>Example Domain</h1>
<p>This window is a simulacrum of the real website,
but it did not come from the URL shown above.
It looks as though it might have, though, doesn't it?
<p><a href='https://dodgy.test/phish.click'>Bogus information...</a>
</div>
</body>
</html>
Zawartość graficzna na górze i na końcu tekstu HTML sprawia, że wygląda to tak, jakby HTML naprawdę pochodził example.com, dzięki zrzutowi ekranu paska adresu u góry:
Środek. Fakery przez pobieranie IFRAME.
Na dole. Obraz zaokrągla fałszywe okno.
Sztuczka jest oczywista, jeśli oglądasz fałszywe okno w innym systemie operacyjnym, takim jak Linux, ponieważ otrzymujesz okno Firefoksa podobne do Linuksa z „oknem” podobnym do Maca w środku.
Fałszywe elementy „opatrunkowe” naprawdę wyróżniają się obrazami, którymi naprawdę są:
z rzeczywistymi kontrolkami okna i paskiem adresu na samej górze.
Czy dałbyś się na to nabrać?
Jeśli kiedykolwiek robiłeś zrzuty ekranu aplikacji, a następnie otwierałeś zrzuty ekranu później w przeglądarce zdjęć, jesteśmy gotowi założyć się, że w pewnym momencie oszukałeś się i potraktowałeś zdjęcie aplikacji tak, jakby była uruchomioną kopią samą aplikację.
Założymy się, że przynajmniej raz w życiu kliknąłeś lub nacisnąłeś obraz aplikacji w aplikacji i zastanawiałeś się, dlaczego aplikacja nie działa. (OK, może nie, ale na pewno tak, aż do prawdziwego zamieszania).
Oczywiście, jeśli klikniesz zrzut ekranu aplikacji w przeglądarce zdjęć, ryzyko jest bardzo małe, ponieważ kliknięcia lub stuknięcia po prostu nie zrobią tego, czego oczekujesz – w rzeczywistości możesz skończyć z edycją lub pisaniem linii na obrazie zamiast.
Ale jeśli chodzi o przeglądarka-w-przeglądarce Zamiast tego „atak graficzny” źle skierowane kliknięcia lub stuknięcia w symulowanym oknie mogą być niebezpieczne, ponieważ nadal znajdujesz się w aktywnym oknie przeglądarki, w którym działa JavaScript i gdzie linki nadal działają…
…po prostu nie jesteś w oknie przeglądarki, o którym myślałeś, ani w witrynie, o której myślałeś.
Co gorsza, dowolny kod JavaScript uruchomiony w aktywnym oknie przeglądarki (pochodzący z oryginalnej witryny oszusta, którą odwiedziłeś) może symulować niektóre z oczekiwanych zachowań prawdziwego wyskakującego okna przeglądarki w celu dodania realizmu, na przykład przeciągania, zmiany rozmiaru i jeszcze.
Jak powiedzieliśmy na początku, jeśli czekasz na prawdziwe wyskakujące okienko i widzisz coś, co wygląda jak wyskakujące okienko, wraz z realistycznymi przyciskami przeglądarki oraz paskiem adresu, który pasuje do tego, czego oczekiwałeś, i trochę się spieszysz…
…możemy w pełni zrozumieć, w jaki sposób możesz błędnie rozpoznać fałszywe okno jako prawdziwe.
Gry Steam ukierunkowane
W Grupie IB Badania naukowe wspomnieliśmy powyżej, prawdziwy atak BinB, który przybyli badacze, wykorzystał gry Steam jako przynętę.
Prawidłowo wyglądająca strona, choć taka, o której nigdy wcześniej nie słyszałeś, oferowałaby Ci szansę na wygranie miejsc na nadchodzącym turnieju gier, na przykład…
… a kiedy witryna stwierdziła, że wyświetla osobne okno przeglądarki zawierające stronę logowania do Steam, zamiast tego wyświetlała fałszywe okno przeglądarki w przeglądarce.
Badacze zauważyli, że atakujący nie tylko używali sztuczek BitB, aby uzyskać nazwy użytkownika i hasła, ale także próbowali symulować wyskakujące okienka Steam Guard z prośbą o dwuskładnikowe kody uwierzytelniające.
Na szczęście zrzuty ekranu przedstawione przez Group-IB pokazały, że przestępcy, na których natknęli się w tej sprawie, nie byli zbyt ostrożni, jeśli chodzi o aspekty artystyczne i projektowe swojego oszustwa, więc większość użytkowników prawdopodobnie zauważyła fałszerstwo.
Ale nawet dobrze poinformowany użytkownik, który się spieszy, lub ktoś korzystający z przeglądarki lub systemu operacyjnego, którego nie znał, na przykład w domu znajomego, mógł nie zauważyć nieścisłości.
Co więcej, bardziej wybredni przestępcy prawie na pewno wymyśliliby bardziej realistyczną fałszywą treść, w taki sam sposób, w jaki nie wszyscy oszuści e-mailowi popełniają błędy ortograficzne w swoich wiadomościach, co potencjalnie prowadzi do tego, że więcej osób poda swoje dane uwierzytelniające.
Co robić?
Oto trzy wskazówki:
- Okna przeglądarki w przeglądarce nie są prawdziwymi oknami przeglądarki. Chociaż mogą wyglądać jak okna na poziomie systemu operacyjnego, z przyciskami i ikonami, które wyglądają jak prawdziwa okazja, nie zachowują się jak okna systemu operacyjnego. Zachowują się jak strony internetowe, bo tym właśnie są. Jeśli jesteś podejrzany, spróbuj przeciągnąć podejrzane okno poza główne okno przeglądarki, które je zawiera. Prawdziwe okno przeglądarki będzie zachowywać się niezależnie, więc można je przenieść poza i poza oryginalne okno przeglądarki. Fałszywe okno przeglądarki zostanie „uwięzione” w prawdziwym oknie, w którym jest wyświetlane, nawet jeśli atakujący użył JavaScript, aby zasymulować jak najwięcej autentycznie wyglądającego zachowania. To szybko zdradzi, że jest to część strony internetowej, a nie samo w sobie prawdziwe okno.
- Dokładnie obejrzyj podejrzane okna. Realistyczne wyśmiewanie wyglądu okna systemu operacyjnego na stronie internetowej jest łatwe do zrobienia źle, ale trudne do zrobienia dobrze. Poświęć te dodatkowe kilka sekund, aby poszukać charakterystycznych oznak fałszerstwa i niespójności.
- Jeśli masz wątpliwości, nie podawaj tego. Bądź podejrzliwy wobec witryn, o których nigdy nie słyszałeś i którym nie masz powodu ufać, które nagle chcą, abyś logował się za pośrednictwem witryny innej firmy.
Nigdy się nie spiesz, ponieważ poświęcenie czasu znacznie zmniejszy prawdopodobieństwo zobaczenia tego, co chcesz myśleć czy jest zamiast tego, co widząc, co właściwie? is tam.
W trzech słowach: Zatrzymać. Myśleć. Połączyć.
Polecany obraz zdjęcia okna aplikacji zawierającego obraz zdjęcia „La Trahison des Images” Magritte'a utworzonego za pomocą Wikipedia.
- BitB
- blockchain
- pomysłowość
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Utrata danych
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- MitB
- MITM
- Nagie bezpieczeństwo
- NexBLOC
- phishing
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- oszustwo
- VPN
- zabezpieczenia stron internetowych
- zefirnet
