Raziskovalci podjetja Group-IB za obveščanje o grožnjah so pravkar napisali zanimivo zgodba iz resničnega življenja o nadležno preprostem, a presenetljivo učinkovitem lažnem predstavljanju, znanem kot BitB, kratek za brskalnik-v-brskalniku.
Verjetno ste že slišali za več vrst napadov X-v-Y MitM in MitB, kratek za manipulator-v-sredi in manipulator-v-brskalniku.
Pri napadu MitM se napadalci, ki vas želijo pretentati, postavijo nekje »na sredino« omrežja, med vaš računalnik in strežnik, ki ga poskušate doseči.
(Morda niso dobesedno na sredini, bodisi geografsko ali hmeljsko, vendar so napadalci MitM nekje skupaj poti, ne desno na obeh koncih.)
Ideja je, da namesto da bi morali vdreti v vaš računalnik ali strežnik na drugi strani, vas zvabijo, da se namesto tega povežete z njimi (ali namerno manipulirate z vašo omrežno potjo, ki je ne morete zlahka nadzirati, ko vaši paketi zapustijo vaš lastni usmerjevalnik), nato pa se pretvarjajo, da so drugi konec – zlonamerni proxy, če želite.
Vaše pakete posredujejo naprej do uradnega cilja, vohljajo za njimi in se morda med potjo poigravajo z njimi, nato pa prejmejo uradne odgovore, ki jih lahko še drugič vohljajo in prilagodijo ter vam jih posredujejo nazaj, kot da d povezan od konca do konca, kot ste pričakovali.
Če ne uporabljate šifriranja od konca do konca, kot je HTTPS, da bi zaščitili zaupnost (brez vohljanja!) in celovitost (brez poseganja!) prometa, verjetno ne boste opazili ali celo mogli zaznali, da je nekdo drug med prevozom odpiral vaša digitalna pisma in jih nato znova zapečatil.
Napad na enem koncu
A MitB Cilj napada je delovati na podoben način, vendar se izogniti težavi, ki jo povzroča HTTPS, zaradi česar je napad MitM veliko težji.
Napadalci MitM ne morejo takoj posegati v promet, ki je šifriran s HTTPS: ne morejo vohljati po vaših podatkih, ker nimajo kriptografskih ključev, ki bi jih uporabljali vsi konci za zaščito; ne morejo spremeniti šifriranih podatkov, ker bi kriptografsko preverjanje na vsakem koncu sprožilo alarm; in ne morejo se pretvarjati, da so strežnik, s katerim se povezujete, ker nimajo kriptografske skrivnosti, ki jo strežnik uporablja za dokazovanje svoje identitete.
Napad MitB se torej običajno zanaša na to, da se zlonamerna programska oprema najprej prikrade v vaš računalnik.
To je na splošno težje kot preprosto vtikanje v omrežje na neki točki, vendar daje napadalcem veliko prednost, če jim to uspe.
To je zato, ker če se lahko vstavijo neposredno v vaš brskalnik, lahko vidijo in spremenijo vaš omrežni promet preden ga vaš brskalnik šifrira za pošiljanje, ki prekliče vsako izhodno zaščito HTTPS, in ko ga vaš brskalnik dešifrira na poti nazaj, s čimer izniči šifriranje, ki ga uporablja strežnik za zaščito svojih odgovorov.
Kaj pa BitB?
Kaj pa a BitB napad?
Brskalnik-v-brskalniku je precej zalogaj in vpletena zvijača kibernetskim kriminalcem ne daje niti približno toliko moči kot vdor MitM ali MitB, vendar je koncept neverjetno preprost in če se vam preveč mudi, je presenetljivo zlahka nasedeš temu.
Ideja napada BitB je ustvariti nekaj, kar je videti kot pojavno okno brskalnika, ki ga je varno ustvaril sam brskalnik, vendar to dejansko ni nič drugega kot spletna stran, ki je bila upodobljena v obstoječem oknu brskalnika.
Morda mislite, da bi bila tovrstna zvijača obsojena na neuspeh, preprosto zato, ker bo vsaka vsebina na spletnem mestu X, ki se pretvarja, da je s spletnega mesta Y, prikazana v samem brskalniku, kot da prihaja iz URL-ja na spletnem mestu X.
Že z enim pogledom v naslovno vrstico bo jasno, da vam lažejo in da je vse, kar gledate, verjetno lažno spletno mesto.
Primer Foe, tukaj je posnetek zaslona example.com spletno mesto, posneto v Firefoxu na Macu:
Če bi vas napadalci zvabili na lažno spletno mesto, bi morda padli na vizualne elemente, če bi natančno kopirali vsebino, vendar bi naslovna vrstica razkrila, da niste na spletnem mestu, ki ste ga iskali.
Pri prevari brskalnika v brskalniku je torej napadalčev cilj ustvariti običajno spletno Stran ki izgleda kot splet stran in vsebina ki ga pričakujete, skupaj z okenskim okrasjem in naslovno vrstico, simulirano čim bolj realistično.
Na nek način gre pri napadu BitB bolj za umetnost kot za znanost in bolj za spletno oblikovanje in upravljanje pričakovanj kot za hekanje v omrežja.
Na primer, če ustvarimo dve slikovni datoteki, postrgani z zaslona, ki izgledata tako ...
... potem HTML tako preprost, kot vidite spodaj ...
<html>
<body>
<div>
<div><img src='./fake-top.png'></div>
<p>
<div><img src='./fake-bot.png'></div>
</div>
</body>
</html>
... bo ustvaril nekaj, kar je videti kot okno brskalnika znotraj obstoječega okna brskalnika, kot je ta:
spletno stran, ki je IZGLEDA KOT okno brskalnika.
V tem zelo osnovnem primeru trije gumbi macOS (zapri, pomanjšaj, povečaj) zgoraj levo ne bodo naredili ničesar, ker niso gumbi operacijskega sistema, so samo slike gumbovin naslovne vrstice v tem, kar je videti kot okno Firefoxa, ni mogoče klikniti ali urejati, ker je tudi samo posnetek zaslona.
Če pa zdaj dodamo IFRAME v HTML, ki smo ga pokazali zgoraj, da posrkamo lažno vsebino s spletnega mesta, ki nima nobene zveze z example.com, Všečkaj to…
<html>
<body>
<div>
<div><img src='./fake-top.png' /></div>
<div><iframe src='https:/dodgy.test/phish.html' frameBorder=0 width=650 height=220></iframe></div>
<div><img src='./fake-bot.png' /></div>
</div>
</body>
</html>
… priznati bi morali, da je končna vizualna vsebina videti natanko tako kot samostojno okno brskalnika, čeprav je dejansko a spletno stran v drugem oknu brskalnika.
Besedilna vsebina in povezava, ki jo lahko kliknete spodaj, sta bila prenesena iz dodgy.test Povezava HTTPS v zgornji datoteki HTML, ki je vsebovala to kodo HTML:
<html>
<body style='font-family:sans-serif'>
<div style='width:530px;margin:2em;padding:0em 1em 1em 1em;'>
<h1>Example Domain</h1>
<p>This window is a simulacrum of the real website,
but it did not come from the URL shown above.
It looks as though it might have, though, doesn't it?
<p><a href='https://dodgy.test/phish.click'>Bogus information...</a>
</div>
</body>
</html>
Zaradi grafične vsebine, ki prekriva in zaostaja besedilo HTML, je videti, kot da je HTML res izviral example.com, zahvaljujoč posnetku zaslona naslovne vrstice na vrhu:
sredina. Fakery prek prenosa IFRAME.
Spodaj. Slika zaokrožuje lažno okno.
Umetnost je očitna, če si lažno okno ogledate v drugem operacijskem sistemu, kot je Linux, saj dobite okno Firefoxa, podobno Linuxu, z "oknom", podobnim Macu, v njem.
Lažne komponente za "okrasitev izložb" resnično izstopajo kot slike, ki v resnici so:
z dejanskimi kontrolniki okna in naslovno vrstico na samem vrhu.
Bi padli na to?
Če ste kdaj posneli posnetke zaslona aplikacij in jih pozneje odprli v pregledovalniku fotografij, lahko stavimo, da ste se na neki točki zavedli, da ste sliko aplikacije obravnavali, kot da je delujoča kopija sama aplikacija.
Stavimo, da ste vsaj enkrat v življenju kliknili ali se dotaknili slike aplikacije v aplikaciji in se spraševali, zakaj aplikacija ne deluje. (V redu, morda niste, mi pa smo zagotovo, do prave zmede.)
Seveda, če kliknete posnetek zaslona aplikacije v brskalniku fotografij, ste izpostavljeni zelo majhnemu tveganju, saj kliki ali dotiki preprosto ne bodo naredili, kar pričakujete – dejansko lahko na koncu urejate ali čečkate vrstice na sliki. namesto tega.
Ko pa gre za a brskalnik-v-brskalniku »artwork napad« so lahko nevarni napačno usmerjeni kliki ali dotiki v simuliranem oknu, ker ste še vedno v aktivnem oknu brskalnika, kjer je v igri JavaScript in kjer povezave še vedno delujejo ...
… preprosto niste v oknu brskalnika, za katerega ste mislili, in tudi niste na spletnem mestu, za katerega ste mislili.
Še huje, kateri koli JavaScript, ki se izvaja v aktivnem oknu brskalnika (ki prihaja iz prvotnega lažnega spletnega mesta, ki ste ga obiskali), lahko simulira nekaj pričakovanega vedenja pristnega pojavnega okna brskalnika, da bi dodal realističnost, na primer vlečenje, spreminjanje velikosti in več.
Kot smo rekli na začetku, če čakate na pravo pojavno okno in vidite nekaj, kar izgleda kot pojavno okno, skupaj z realističnimi gumbi brskalnika in naslovno vrstico, ki se ujema s tem, kar ste pričakovali, in se vam malo mudi ...
... popolnoma razumemo, kako lahko lažno okno napačno prepoznate kot pravo.
Ciljane igre Steam
V skupini-IB Raziskave kot smo omenili zgoraj, je napad BinB v resničnem svetu, na katerega so naleteli raziskovalci, uporabil igre Steam kot vabo.
Legitimno videti spletno mesto, čeprav zanj še nikoli niste slišali, bi vam ponudilo priložnost, da osvojite mesta na prihajajočem igralnem turnirju, na primer ...
... in ko je spletno mesto sporočilo, da se odpre ločeno okno brskalnika, ki vsebuje stran za prijavo v Steam, je namesto tega dejansko predstavilo lažno okno brskalnika v brskalniku.
Raziskovalci so ugotovili, da napadalci niso uporabili samo zvijač BitB za iskanje uporabniških imen in gesel, ampak so tudi poskušali simulirati pojavna okna Steam Guard, ki zahtevajo kode za dvofaktorsko avtentikacijo.
Na srečo so posnetki zaslona, ki jih je predstavil Group-IB, pokazali, da kriminalci, na katere so naleteli v tem primeru, niso bili preveč previdni glede umetniških in oblikovalskih vidikov njihove prevare, zato je večina uporabnikov verjetno opazila ponaredek.
Toda celo dobro obveščen uporabnik, ki se mudi, ali nekdo, ki uporablja brskalnik ali operacijski sistem, ki ga ne pozna, na primer pri prijatelju, morda ne bi opazil netočnosti.
Poleg tega bi bolj izbirčni kriminalci skoraj zagotovo prišli do bolj realistične lažne vsebine, na enak način, kot vsi e-poštni prevaranti ne delajo črkovalnih napak v svojih sporočilih, zaradi česar lahko več ljudi odda svoje poverilnice za dostop.
Kaj storiti?
Tukaj so trije nasveti:
- Okna brskalnika v brskalniku niso prava okna brskalnika. Čeprav se morda zdijo kot okna na ravni operacijskega sistema, z gumbi in ikonami, ki izgledajo kot prava stvar, se ne obnašajo kot okna operacijskega sistema. Obnašajo se kot spletne strani, ker to tudi so. Če ste sumljivi, poskusite povleči sumljivo okno izven glavnega okna brskalnika, ki ga vsebuje. Pravo okno brskalnika se bo obnašalo neodvisno, tako da ga lahko premaknete zunaj izvirnega okna brskalnika. Lažno okno brskalnika bo "zaprto" znotraj pravega okna, v katerem je prikazano, tudi če je napadalec uporabil JavaScript, da bi poskušal simulirati čim bolj pristno vedenje. To bo hitro razkrilo, da je del spletne strani in ne pravo okno samo po sebi.
- Previdno preglejte sumljiva okna. Realistično posnemanje videza in občutka okna operacijskega sistema znotraj spletne strani je lahko narediti slabo, težko pa dobro. Vzemite si teh dodatnih nekaj sekund, da poiščete znake ponarejanja in nedoslednosti.
- Če ste v dvomih, ga ne izdajte. Bodite nezaupljivi do spletnih mest, za katera še niste slišali in jim nimate razloga zaupati, ki nenadoma želijo, da se prijavite prek spletnega mesta tretje osebe.
Nikoli se vam ne mudi, ker če si vzamete čas, bo veliko manj verjetno, da boste videli tisto, kar ste mislim je tam namesto kaj videti kaj dejansko is tam.
S tremi besedami: Stop. pomisli. Povežite se.
Predstavljena slika fotografije okna aplikacije, ki vsebuje sliko fotografije Magrittove »La Trahison des Images«, ustvarjene prek Wikipedia.
- BitB
- blockchain
- coingenius
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- izguba podatkov
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- MitB
- MITM
- Gola varnost
- NexBLOC
- Ribarjenje
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- Prevara
- VPN
- spletna varnost
- zefirnet
