Исследователи компании Group-IB, специализирующейся на анализе угроз, только что написали интригующую статью. реальная история о раздражающе простом, но удивительно эффективном фишинговом трюке, известном как БитБ, Короче для браузер в браузере.
Вы, вероятно, уже слышали о нескольких типах атаки X-in-the-Y, в частности MitM и МитБ, Короче для манипулятор посередине и манипулятор в браузере.
При атаке MitM злоумышленники, которые хотят обмануть вас, располагаются где-то «посередине» сети, между вашим компьютером и сервером, к которому вы пытаетесь добраться.
(Возможно, они не находятся буквально посередине ни географически, ни с точки зрения прыжков, но злоумышленники MitM где-то вдоль маршрут, не прямо с обоих концов.)
Идея состоит в том, что вместо того, чтобы взламывать ваш компьютер или сервер на другом конце, они заманивают вас вместо этого подключиться к ним (или преднамеренно манипулировать вашим сетевым путем, который вы не можете легко контролировать, как только ваши пакеты выходят из ваш собственный маршрутизатор), а затем притворяются другим концом — злонамеренным прокси, если хотите.
Они передают ваши пакеты официальному адресату, отслеживая их и, возможно, возясь с ними по пути, затем получают официальные ответы, которые они могут подсмотреть и изменить во второй раз, и передать их вам, как если бы вы d подключены встык, как вы и ожидали.
Если вы не используете сквозное шифрование, такое как HTTPS, для защиты конфиденциальности (без отслеживания!) и целостности (без подделки!) трафика, вы вряд ли заметите или даже сможете обнаружить, что кто-то еще вскрывал ваши электронные письма в пути, а затем снова запечатывал их.
Атака с одного конца
A МитБ Цель атаки — работать аналогичным образом, но для того, чтобы обойти проблему, вызванную HTTPS, что значительно усложняет атаку MitM.
Злоумышленники MitM не могут легко вмешиваться в трафик, зашифрованный с помощью HTTPS: они не могут отслеживать ваши данные, потому что у них нет криптографических ключей, используемых на каждой стороне для их защиты; они не могут изменить зашифрованные данные, потому что криптографическая проверка на каждом конце вызовет тревогу; и они не могут притворяться сервером, к которому вы подключаетесь, потому что у них нет криптографического секрета, который сервер использует для подтверждения своей личности.
Таким образом, атака MitB обычно основана на проникновении вредоносного ПО на ваш компьютер.
Как правило, это сложнее, чем просто подключиться к сети в какой-то момент, но это дает злоумышленникам огромное преимущество, если они могут управлять этим.
Это потому, что если они могут вставить себя прямо в ваш браузер, они смогут видеть и изменять ваш сетевой трафик. прежде чем ваш браузер зашифрует его для отправки, что отменяет любую исходящую защиту HTTPS, и после того, как ваш браузер расшифрует его на обратном пути, тем самым сводя на нет шифрование, применяемое сервером для защиты своих ответов.
Что насчет BitB?
Но как насчет БитБ атака?
Браузер в браузере довольно многословен, и задействованный в нем обман не дает киберпреступникам такой силы, как взлом MitM или MitB, но концепция проста до безобразия, и если вы слишком спешите, это удивительно легко поддаться на это.
Идея атаки BitB заключается в создании того, что выглядит как всплывающее окно браузера, которое было безопасно сгенерировано самим браузером, но на самом деле это не что иное, как веб-страница, отображаемая в существующем окне браузера.
Вы можете подумать, что такого рода уловки обречены на провал, просто потому, что любой контент на сайте X, который претендует на то, чтобы быть с сайта Y, будет отображаться в самом браузере как поступающий с URL-адреса на сайте X.
Достаточно одного взгляда на адресную строку, чтобы понять, что вас обманывают и что все, на что вы смотрите, вероятно, является фишинговым сайтом.
Например, вот скриншот example.com веб-сайт, снятый в Firefox на Mac:
Если злоумышленники заманили вас на поддельный сайт, вы могли попасться на визуальные эффекты, если они близко скопировали контент, но адресная строка выдала бы, что вы находитесь не на том сайте, который искали.
Таким образом, при мошенничестве с использованием браузера в браузере целью злоумышленника является создание обычного веб-сайта. страница это похоже на сеть сайт и контент вы ожидаете, в комплекте с оформлением окна и адресной строкой, смоделированной настолько реалистично, насколько это возможно.
В некотором смысле атака BitB больше связана с искусством, чем с наукой, и больше связана с веб-дизайном и управлением ожиданиями, чем со взломом сети.
Например, если мы создадим два файла изображений с экрана, которые выглядят так…
…затем HTML такой же простой, как то, что вы видите ниже…
<html>
<body>
<div>
<div><img src='./fake-top.png'></div>
<p>
<div><img src='./fake-bot.png'></div>
</div>
</body>
</html>
… создаст то, что выглядит как окно браузера внутри существующего окна браузера, например:
веб-страница, которая ВЫГЛЯДИТ КАК окно браузера.
В этом очень простом примере три кнопки macOS (закрыть, свернуть, развернуть) в левом верхнем углу ничего не сделают, потому что они не являются кнопками операционной системы, они просто картинки с пуговицами, а адресную строку в том, что выглядит как окно Firefox, нельзя щелкнуть или отредактировать, потому что она тоже просто скриншот.
Но если теперь мы добавим IFRAME в показанный выше HTML-код, чтобы втянуть поддельный контент с сайта, который не имеет ничего общего с example.com, как это…
<html>
<body>
<div>
<div><img src='./fake-top.png' /></div>
<div><iframe src='https:/dodgy.test/phish.html' frameBorder=0 width=650 height=220></iframe></div>
<div><img src='./fake-bot.png' /></div>
</div>
</body>
</html>
…вы должны признать, что полученный визуальный контент выглядит точно так же, как отдельное окно браузера, хотя на самом деле это веб-страница в другом окне браузера.
Текстовое содержимое и интерактивная ссылка, которую вы видите ниже, были загружены с dodgy.test Ссылка HTTPS в HTML-файле выше, который содержит этот HTML-код:
<html>
<body style='font-family:sans-serif'>
<div style='width:530px;margin:2em;padding:0em 1em 1em 1em;'>
<h1>Example Domain</h1>
<p>This window is a simulacrum of the real website,
but it did not come from the URL shown above.
It looks as though it might have, though, doesn't it?
<p><a href='https://dodgy.test/phish.click'>Bogus information...</a>
</div>
</body>
</html>
Графическое содержимое, расположенное над текстом HTML и заканчивающееся им, создает впечатление, что HTML действительно исходит из example.com, благодаря скриншоту адресной строки вверху:
Середина. Подделка через загрузку IFRAME.
Нижний. Изображение закругляет фальшивое окно.
Уловка очевидна, если вы просматриваете поддельное окно в другой операционной системе, например Linux, потому что вы получаете окно Firefox, похожее на Linux, с «окном» в стиле Mac внутри него.
Компоненты поддельной «показухи» действительно выделяются теми изображениями, которыми они являются на самом деле:
с фактическими элементами управления окном и адресной строкой в самом верху.
Вы бы согласились на это?
Если вы когда-либо делали скриншоты приложений, а затем открывали их позже в средстве просмотра фотографий, мы готовы поспорить, что в какой-то момент вы обманули себя, обращаясь с изображением приложения, как если бы это была работающая копия приложения. само приложение.
Мы держим пари, что вы нажимали или нажимали на изображение приложения в приложении по крайней мере один раз в своей жизни и задавались вопросом, почему приложение не работает. (Хорошо, может быть, у вас и нет, но у нас точно есть, вплоть до настоящего замешательства.)
Конечно, если вы нажмете на снимок экрана приложения в браузере фотографий, вы рискуете очень мало, потому что клики или касания просто не будут делать то, что вы ожидаете — действительно, вы можете в конечном итоге редактировать или набрасывать линии на изображении. вместо.
Но когда дело доходит до браузер в браузере вместо этого «атаки на художественные работы», неверные клики или касания в симулированном окне могут быть опасны, потому что вы все еще находитесь в активном окне браузера, где работает JavaScript и где все еще работают ссылки…
…вы просто находитесь не в том окне браузера, о котором думали, и не на том веб-сайте, о котором думали.
Что еще хуже, любой JavaScript, запущенный в активном окне браузера (которое пришло с оригинального сайта-самозванца, который вы посетили), может имитировать некоторые из ожидаемых действий подлинного всплывающего окна браузера, чтобы добавить реализма, например перетаскивание, изменение размера и т.д. более.
Как мы уже говорили в начале, если вы ждете настоящего всплывающего окна и видите что-то, что имеет всплывающее окно с реалистичными кнопками браузера и адресной строкой, которая соответствует вашим ожиданиям, и вы немного торопитесь…
… мы можем полностью понять, как вы можете ошибочно распознать фальшивое окно как настоящее.
Таргетинг на Steam-игры
В Group-IB исследованиям Как мы упоминали выше, реальная атака BinB, с которой столкнулись исследователи, использовала Steam Games в качестве приманки.
Нормально выглядящий сайт, о котором вы никогда раньше не слышали, даст вам шанс выиграть места на предстоящем игровом турнире, например…
… и когда сайт сказал, что он открывает отдельное окно браузера, содержащее страницу входа в Steam, на самом деле вместо этого он представлял поддельное окно браузера в браузере.
Исследователи отметили, что злоумышленники не только использовали обман BitB для получения имен пользователей и паролей, но также пытались имитировать всплывающие окна Steam Guard, запрашивающие коды двухфакторной аутентификации.
К счастью, скриншоты, представленные Group-IB, показали, что преступники, с которыми они столкнулись в этом случае, не были особенно осторожны в аспектах искусства и дизайна своего мошенничества, поэтому большинство пользователей, вероятно, заметили подделку.
Но даже хорошо информированный пользователь в спешке или кто-то, использующий браузер или операционную систему, с которой он не знаком, например, в доме друга, мог не заметить неточностей.
Кроме того, более привередливые преступники почти наверняка придумают более реалистичный поддельный контент, точно так же, как не все мошенники по электронной почте делают орфографические ошибки в своих сообщениях, что потенциально может привести к тому, что больше людей выдадут свои учетные данные для доступа.
Что делать?
Вот три совета:
- Окна браузера в браузере не являются настоящими окнами браузера. Хотя они могут показаться окнами уровня операционной системы, с кнопками и значками, которые выглядят как настоящие, они не ведут себя как окна операционной системы. Они ведут себя как веб-страницы, потому что они такие. Если вы подозрительны, попробуйте перетащить подозрительное окно за пределы главного окна браузера, в котором оно находится. Настоящее окно браузера будет вести себя независимо, поэтому вы можете перемещать его за пределы исходного окна браузера. Поддельное окно браузера будет «заключено» внутри реального окна, в котором оно отображается, даже если злоумышленник использовал JavaScript, чтобы попытаться имитировать как можно более подлинное поведение. Это быстро покажет, что это часть веб-страницы, а не отдельное окно.
- Внимательно осмотрите подозрительные окна. Реалистично смоделировать внешний вид окна операционной системы внутри веб-страницы легко сделать плохо, но трудно сделать хорошо. Потратьте эти дополнительные несколько секунд, чтобы найти явные признаки подделки и несоответствия.
- Если сомневаетесь, не выдавайте. С подозрением относитесь к сайтам, о которых вы никогда не слышали и которым у вас нет причин доверять, которые внезапно хотят, чтобы вы вошли через сторонний сайт.
Никогда не спешите, потому что, если вы будете тратить время, у вас будет гораздо меньше шансов увидеть то, что вы think есть вместо того что видя что на самом деле is .
В трех словах: Останавливаться. Считать. Соединять.
Избранное изображение фотографии окна приложения, содержащего изображение фотографии Магритта «La Trahison des Images», созданное с помощью Википедия..
- БитБ
- блокчейн
- Coingenius
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Потеря данных
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- МитБ
- MITM
- Голая Безопасность
- НексБЛОК
- фишинг
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- Мошенничество
- VPN
- безопасности веб-сайтов
- зефирнет
