Securitate serioasă: atacuri browser-in-the-browser – ai grijă la ferestrele care nu sunt! PlatoBlockchain Data Intelligence. Căutare verticală. Ai.

Securitate serioasă: atacuri browser-in-the-browser – ai grijă la ferestrele care nu sunt!

Marca temporală: 13 septembrie 2022 4:52

by
Paul Ducklin

Cercetătorii de la compania de informații despre amenințări Group-IB tocmai au scris un intrigant poveste din viața reală despre un truc de phishing enervant de simplu, dar surprinzător de eficient, cunoscut sub numele de BitB, scurt pentru browser-in-browser.

Probabil ați mai auzit de mai multe tipuri de atac X-in-the-Y, în special MitM și MitB, scurt pentru manipulator-la-mijloc și manipulator-în-browser.

Într-un atac MitM, atacatorii care vor să te păcălească se poziționează undeva „în mijlocul” rețelei, între computerul tău și serverul la care încerci să ajungi.

(E posibil să nu fie literalmente la mijloc, fie din punct de vedere geografic, fie din punct de vedere al hopului, dar atacatorii MitM sunt undeva de-a lungul traseul, nu chiar la niciunul dintre capetele.)

Ideea este că, în loc să trebuiască să pătrundă în computerul tău sau în serverul de la celălalt capăt, te ademenește să te conectezi la ele (sau să manipuleze în mod deliberat calea rețelei, pe care nu o poți controla cu ușurință odată ce pachetele tale ies din propriul tău router), și apoi se prefac a fi celălalt capăt – un proxy răuvoitor, dacă vrei.

Îți trimit pachetele către destinația oficială, le-au iscusit și poate că le-ai jucat pe drum, apoi primesc răspunsurile oficiale, pe care le pot căuta și modifica pentru a doua oară și ți le transmit înapoi ca și cum ai fi. d conectat cap la cap exact așa cum vă așteptați.

Dacă nu utilizați criptare end-to-end, cum ar fi HTTPS, pentru a proteja atât confidențialitatea (fără snooping!) cât și integritatea (fără manipulare!) a traficului, este puțin probabil să observați sau chiar să puteți detectează, că altcineva a deschis scrisorile tale digitale în tranzit și apoi le-a sigilat din nou.

Ataca la un capăt

A MitB atacul urmărește să funcționeze într-un mod similar, dar să evite problema cauzată de HTTPS, ceea ce face un atac MitM mult mai greu.

Atacatorii MitM nu pot interfera cu ușurință cu traficul criptat cu HTTPS: ei nu pot snoope datele dvs., deoarece nu au cheile criptografice folosite de fiecare capăt pentru a le proteja; nu pot modifica datele criptate, deoarece verificarea criptografică la fiecare capăt ar trage apoi alarma; și nu pot pretinde că sunt serverul la care vă conectați pentru că nu au secretul criptografic pe care serverul îl folosește pentru a-și dovedi identitatea.

Prin urmare, un atac MitB se bazează în mod obișnuit pe introducerea mai întâi de malware pe computerul dvs.

În general, acest lucru este mai dificil decât simpla accesare la rețea la un moment dat, dar le oferă atacatorilor un avantaj enorm dacă o pot gestiona.

Asta pentru că, dacă se pot introduce chiar în browserul dvs., ei vor vedea și modifica traficul dvs. de rețea înainte ca browserul să-l cripteze pentru trimitere, care anulează orice protecție HTTPS de ieșire și după ce browserul dvs. îl decriptează la întoarcere, anulând astfel criptarea aplicată de server pentru a-și proteja răspunsurile.

Ce înseamnă un BitB?

Dar ce zici de a BitB atac?

Browser-in-browser este destul de o gură, iar șmecheria implicată nu oferă infractorilor cibernetici nici pe departe la fel de multă putere ca un hack MitM sau MitB, dar conceptul este foarte simplu, iar dacă te grăbești prea mult, este surprinzător. ușor să te îndrăgostești.

Ideea unui atac BitB este de a crea ceea ce arată ca o fereastră pop-up de browser care a fost generată în siguranță de browserul însuși, dar aceasta nu este de fapt nimic altceva decât o pagină web care a fost redată într-o fereastră de browser existentă.

S-ar putea să credeți că acest tip de șmecherie ar fi sortit eșecului, pur și simplu pentru că orice conținut de pe site-ul X care se pretinde a fi de pe site-ul Y va apărea în browser în sine ca provenind de la o adresă URL de pe site-ul X.

O singură privire la bara de adrese va face evident că ești mințit și că orice te uiți este probabil un site de phishing.

De exemplu, iată o captură de ecran a example.com site web, luat în Firefox pe un Mac:

Fereastra browser autentică: captură de ecran a Firefox pentru Mac cu site-ul web example.com deschis.

Dacă atacatorii v-au ademenit pe un site fals, s-ar putea să vă îndrăgostiți de imagini dacă ar copia îndeaproape conținutul, dar bara de adrese ar arăta că nu vă aflați pe site-ul pe care îl căutați.

Prin urmare, într-o înșelătorie Browser-in-the-Browser, scopul atacatorului este de a crea un web obișnuit. pagină care arată ca web site-ul și conținutul te aștepți, complet cu decorațiunile ferestrelor și bara de adrese, simulate cât se poate de realist.

Într-un fel, un atac BitB este mai mult despre artă decât despre știință și este mai mult despre design web și gestionarea așteptărilor decât despre hackingul de rețea.

De exemplu, dacă creăm două fișiere imagine răzuite pe ecran care arată astfel...

Securitate serioasă: atacuri browser-in-the-browser – ai grijă la ferestrele care nu sunt! PlatoBlockchain Data Intelligence. Căutare verticală. Ai.

… apoi HTML la fel de simplu ca ceea ce vezi mai jos…

<html>
   <body>
      <div>
         <div><img src='./fake-top.png'></div>
         <p>
         <div><img src='./fake-bot.png'></div>
      </div>
   </body>
</html>

…va crea ceea ce arată ca o fereastră de browser în interiorul unei ferestre de browser existente, astfel:

Securitate serioasă: atacuri browser-in-the-browser – ai grijă la ferestrele care nu sunt! PlatoBlockchain Data Intelligence. Căutare verticală. Ai.
Aceasta arată ca o fereastră de browser Firefox și exact asta este:
o pagină web care ARĂTA ca o fereastră de browser.

În acest exemplu foarte de bază, cele trei butoane macOS (închidere, minimizare, maximizare) din stânga sus nu vor face nimic, deoarece nu sunt butoane ale sistemului de operare, sunt doar poze cu nasturi, iar bara de adrese din ceea ce pare a fi o fereastră Firefox nu poate fi făcută clic sau editată, deoarece și aceasta este doar o captură de ecran.

Dar dacă acum adăugăm un IFRAME în HTML-ul pe care l-am arătat mai sus, pentru a absorbi conținut fals de pe un site care nu are nimic de-a face cu example.com, ca aceasta…

<html>
   <body>
      <div>
         <div><img src='./fake-top.png' /></div>   
         <div><iframe src='https:/dodgy.test/phish.html' frameBorder=0 width=650 height=220></iframe></div>
         <div><img src='./fake-bot.png' /></div>
      </div>
   </body>
</html>

…ar trebui să recunoașteți că conținutul vizual rezultat arată exact ca o fereastră de browser independentă, chiar dacă este de fapt un pagină web în altă fereastră de browser.

Conținutul text și linkul pe care se poate face clic pe care îl vedeți mai jos au fost descărcate de pe dodgy.test Link HTTPS în fișierul HTML de mai sus, care conținea acest cod HTML:

<html>
   <body style='font-family:sans-serif'>
      <div style='width:530px;margin:2em;padding:0em 1em 1em 1em;'>
         <h1>Example Domain</h1>

         <p>This window is a simulacrum of the real website,
         but it did not come from the URL shown above.
         It looks as though it might have, though, doesn't it?

         <p><a href='https://dodgy.test/phish.click'>Bogus information...</a>
      </div>
   </body>
</html>

Conținutul grafic care depășește și urmărește textul HTML face să pară ca și cum HTML-ul chiar a venit example.com, datorită capturii de ecran a barei de adrese din partea de sus:

Securitate serioasă: atacuri browser-in-the-browser – ai grijă la ferestrele care nu sunt! PlatoBlockchain Data Intelligence. Căutare verticală. Ai.
Top. Comenzi false ale ferestrelor și bară de adrese prin imagine.
Mijloc. Fals prin descărcare IFRAME.
Fund. Imaginea rotunjește fereastra falsă.

Artificiul este evident dacă vizualizați fereastra falsă pe un alt sistem de operare, cum ar fi Linux, deoarece obțineți o fereastră Firefox asemănătoare Linux cu o „fereastră” asemănătoare Mac-ului în interior.

Componentele false de „amenajare a vitrinei” se remarcă cu adevărat ca imaginile care sunt cu adevărat:

Securitate serioasă: atacuri browser-in-the-browser – ai grijă la ferestrele care nu sunt! PlatoBlockchain Data Intelligence. Căutare verticală. Ai.
Fereastra falsă afișată clar ca pagină web,
cu comenzile reale ale ferestrei și bara de adrese în partea de sus.

Ai să te îndrăgostești?

Dacă ați făcut vreodată capturi de ecran ale aplicațiilor și apoi ați deschis capturile de ecran mai târziu în vizualizatorul dvs. de fotografii, suntem dispuși să pariem că, la un moment dat, v-ați păcălit să tratați imaginea aplicației ca și cum ar fi o copie rulantă a aplicației. aplicația în sine.

Vom paria că ați făcut clic pe sau ați atins pe o imagine a aplicației într-o aplicație cel puțin una în viața dvs. și v-ați trezit că vă întrebați de ce aplicația nu funcționează. (OK, poate că nu ați făcut-o, dar cu siguranță că am făcut-o, până la o confuzie reală.)

Desigur, dacă faceți clic pe o captură de ecran a unei aplicații în interiorul unui browser de fotografii, aveți un risc foarte mic, deoarece clicurile sau atingerile pur și simplu nu vor face ceea ce vă așteptați - într-adevăr, puteți ajunge să editați sau să mâzgăliți linii pe imagine. in schimb.

Dar când vine vorba de a browser-in-browser „atac de artă”, în schimb, clicurile sau atingerile direcționate greșit într-o fereastră simulată pot fi periculoase, deoarece încă vă aflați într-o fereastră activă a browserului, unde JavaScript este în joc și unde linkurile încă funcționează...

... pur și simplu nu ești în fereastra browserului la care te-ai gândit și nici nu te afli pe site-ul web la care te-ai gândit.

Mai rău și mai rău, orice JavaScript care rulează în fereastra activă a browserului (care provine de la site-ul inițial al impostorului pe care l-ați vizitat) poate simula o parte din comportamentul așteptat al unei ferestre pop-up autentice de browser pentru a adăuga realism, cum ar fi tragerea acesteia, redimensionarea acesteia și Mai mult.

După cum am spus la început, dacă așteptați o fereastră pop-up reală și vedeți ceva care se pare ca o fereastră pop-up, completată cu butoane de browser realiste plus o bară de adrese care se potrivește cu ceea ce vă așteptați și vă grăbiți puțin...

… putem înțelege pe deplin cum ați putea recunoaște greșit fereastra falsă ca fiind una reală.

Jocuri Steam vizate

În Grupa-IB cercetare Am menționat mai sus, atacul BinB din lumea reală la care au venit cercetătorii a folosit Steam Games ca momeală.

Un site cu aspect legitim, deși unul despre care nu ai auzit niciodată până acum, ți-ar oferi șansa de a câștiga locuri la un viitor turneu de jocuri, de exemplu...

… și când site-ul a spus că a apărut o fereastră separată de browser care conține o pagină de conectare Steam, într-adevăr a prezentat o fereastră falsă de browser-in-the-browser.

Cercetătorii au observat că atacatorii nu au folosit doar trucurile BitB pentru a căuta nume de utilizator și parole, ci au încercat și să simuleze ferestrele pop-up Steam Guard care solicită coduri de autentificare cu doi factori.

Din fericire, capturile de ecran prezentate de Group-IB au arătat că infractorii cu care s-au întâmplat în acest caz nu au fost teribil de atenți la aspectele de artă și design ale escrocheriei lor, așa că probabil că majoritatea utilizatorilor au observat falsitatea.

Dar chiar și un utilizator bine informat care se grăbește sau cineva care folosește un browser sau un sistem de operare cu care nu era familiarizat, cum ar fi acasă la un prieten, ar putea să nu fi observat inexactitățile.

De asemenea, infractorii mai pretențioși ar veni aproape cu siguranță cu conținut fals mai realist, în același mod în care nu toți escrocii de e-mail fac greșeli de ortografie în mesajele lor, determinând astfel mai mulți oameni să-și dea acreditările de acces.

Ce să fac?

Iată trei sfaturi:

  • Ferestrele browser-in-the-browser nu sunt ferestre reale de browser. Deși pot părea ferestre la nivel de sistem de operare, cu butoane și pictograme care arată exact ca adevărata afacere, nu se comportă ca ferestrele sistemului de operare. Se comportă ca niște pagini web, pentru că asta sunt. Dacă ești suspicios, încercați să trageți fereastra suspectă în afara ferestrei principale a browserului care o conține. O fereastră de browser reală se va comporta independent, astfel încât să o puteți muta în afara și dincolo de fereastra originală a browserului. O fereastră de browser falsă va fi „închisă” în fereastra reală în care este afișată, chiar dacă atacatorul a folosit JavaScript pentru a încerca să simuleze cât mai mult comportament cu aspect autentic posibil. Acest lucru va dezvălui rapid faptul că face parte dintr-o pagină web, nu o fereastră adevărată în sine.
  • Examinați cu atenție ferestrele suspecte. A ridica în mod realist aspectul și senzația unei ferestre de sistem de operare în interiorul unei pagini web este ușor de făcut prost, dar dificil de făcut bine. Luați acele câteva secunde în plus pentru a căuta semne revelatoare de falsitate și inconsecvență.
  • Dacă aveți îndoieli, nu o dați. Fiți suspicios față de site-urile de care nu ați auzit niciodată și de care nu aveți niciun motiv să aveți încredere, care doresc brusc să vă conectați printr-un site terță parte.

Nu vă grăbiți niciodată, pentru că să vă acordați timp vă va face mult mai puțin probabil să vedeți ceea ce ești crede există în loc de ceea ce văd ce de fapt is acolo.

În trei cuvinte: Stop. Gândi. Conectați.

Imaginea prezentată a fotografiei ferestrei aplicației care conține imaginea fotografiei „La Trahison des Images” a lui Magritte, creată prin Wikipedia.

Timestamp-ul:

Mai mult de la Securitate goală