Forskare vid hotintelligence-företaget Group-IB skrev just ett spännande verkliga historien om ett irriterande enkelt men förvånansvärt effektivt nätfisketrick känt som BitB, Förkortning av webbläsare-i-webbläsaren.
Du har säkert hört talas om flera typer av X-in-the-Y-attacker tidigare, särskilt MITM och MitB, Förkortning av manipulator-i-mitten och manipulator-i-webbläsaren.
I en MitM-attack placerar sig angriparna som vill lura dig någonstans "i mitten" av nätverket, mellan din dator och servern du försöker nå.
(De kanske inte bokstavligen befinner sig i mitten, varken geografiskt eller hoppmässigt, men MitM-angripare finns någonstans längs rutten, inte rätt i någon ände.)
Tanken är att istället för att behöva bryta sig in i din dator, eller in i servern i andra änden, lockar de dig att ansluta till dem istället (eller avsiktligt manipulera din nätverksväg, som du inte enkelt kan kontrollera när dina paket lämnar din egen router), och sedan låtsas de vara den andra änden – en illvillig proxy, om du vill.
De skickar dina paket vidare till den officiella destinationen, snokar efter dem och kanske pillar med dem på vägen, får sedan de officiella svaren, som de kan snoka på och justera för en andra gång, och skicka tillbaka dem till dig som om du. d ansluten ände till ände precis som du förväntade dig.
Om du inte använder end-to-end-kryptering som HTTPS för att skydda både konfidentialitet (ingen snooping!) och integritet (ingen manipulation!) för trafiken, är det osannolikt att du kommer att märka eller ens kunna upptäcka att någon annan har ångat upp dina digitala brev under transporten och sedan förseglat dem igen efteråt.
Attackerar i ena änden
A MitB attack syftar till att fungera på ett liknande sätt, men att kringgå problemet som orsakas av HTTPS, vilket gör en MitM-attack mycket svårare.
MitM-angripare kan inte lätt störa trafik som är krypterad med HTTPS: de kan inte snoka på din data, eftersom de inte har de kryptografiska nycklar som används av varje ände för att skydda den; de kan inte ändra den krypterade datan, eftersom den kryptografiska verifieringen i varje ände då skulle larma; och de kan inte låtsas vara servern du ansluter till eftersom de inte har den kryptografiska hemligheten som servern använder för att bevisa sin identitet.
En MitB-attack bygger därför vanligtvis på att först smyga in skadlig programvara på din dator.
Det är generellt sett svårare än att bara klicka på nätverket någon gång, men det ger angriparna en enorm fördel om de kan hantera det.
Det beror på att om de kan infoga sig själva direkt i din webbläsare får de se och ändra din nätverkstrafik innan din webbläsare krypterar den för sändning, vilket tar bort allt utgående HTTPS-skydd, och efter att din webbläsare dekrypterar den på vägen tillbaka, vilket upphäver krypteringen som används av servern för att skydda sina svar.
Vad sägs om en BitB?
Men vad sägs om a BitB ge sig på?
Webbläsare-i-webbläsaren är ganska munfull, och tricket inblandat ger inte cyberbrottslingar i närheten av lika mycket makt som ett MitM eller ett MitB-hack, men konceptet är pannklappande enkelt, och om du har för bråttom är det överraskande nog lätt att falla för det.
Tanken med en BitB-attack är att skapa vad som ser ut som ett popup-webbläsarfönster som skapades säkert av webbläsaren själv, men det är faktiskt inget annat än en webbsida som renderades i ett befintligt webbläsarfönster.
Du kanske tror att den här typen av knep skulle vara dömd att misslyckas, helt enkelt för att allt innehåll på webbplats X som utger sig vara från webbplats Y kommer att dyka upp i själva webbläsaren som kommer från en URL på webbplats X.
En blick på adressfältet kommer att göra det uppenbart att du ljugs för dig och att vad du än tittar på förmodligen är en nätfiskesida.
Foe exempel, här är en skärmdump av example.com webbplats, tagen i Firefox på en Mac:
Om angripare lockade dig till en falsk sajt kan du falla för det visuella om de kopierade innehållet på nära håll, men adressfältet skulle ge bort att du inte var på sidan du letade efter.
I en Browser-in-the-Browser-bedrägeri är därför angriparens mål att skapa en vanlig webb sida som ser ut som webben webbplats och innehåll du förväntar dig, komplett med fönsterdekorationer och adressfältet, simulerad så realistiskt som möjligt.
På ett sätt handlar en BitB-attack mer om konst än om vetenskap, och det handlar mer om webbdesign och att hantera förväntningar än om nätverkshackning.
Till exempel, om vi skapar två skärmskrapade bildfiler som ser ut så här...
… sedan HTML så enkelt som du ser nedan…
<html>
<body>
<div>
<div><img src='./fake-top.png'></div>
<p>
<div><img src='./fake-bot.png'></div>
</div>
</body>
</html>
...kommer att skapa vad som ser ut som ett webbläsarfönster i ett befintligt webbläsarfönster, så här:
en webbsida som SER UT SOM ett webbläsarfönster.
I detta mycket grundläggande exempel kommer de tre macOS-knapparna (stäng, minimera, maximera) längst upp till vänster inte att göra någonting, eftersom de inte är operativsystemknappar, de är bara bilder på knappar, och adressfältet i vad som ser ut som ett Firefox-fönster kan inte klickas in eller redigeras, eftersom det också är bara en skärmdump.
Men om vi nu lägger till en IFRAME i HTML-koden vi visade ovan, för att suga in falskt innehåll från en webbplats som inte har något att göra med example.com, så här…
<html>
<body>
<div>
<div><img src='./fake-top.png' /></div>
<div><iframe src='https:/dodgy.test/phish.html' frameBorder=0 width=650 height=220></iframe></div>
<div><img src='./fake-bot.png' /></div>
</div>
</body>
</html>
...du måste erkänna att det resulterande visuella innehållet ser ut precis som ett fristående webbläsarfönster, även om det faktiskt är en webbsida i ett annat webbläsarfönster.
Textinnehållet och den klickbara länken som du ser nedan har laddats ner från dodgy.test HTTPS-länk i HTML-filen ovan, som innehöll denna HTML-kod:
<html>
<body style='font-family:sans-serif'>
<div style='width:530px;margin:2em;padding:0em 1em 1em 1em;'>
<h1>Example Domain</h1>
<p>This window is a simulacrum of the real website,
but it did not come from the URL shown above.
It looks as though it might have, though, doesn't it?
<p><a href='https://dodgy.test/phish.click'>Bogus information...</a>
</div>
</body>
</html>
Det grafiska innehållet som toppar och svansar HTML-texten gör att det ser ut som om HTML-koden verkligen kom ifrån example.com, tack vare skärmdumpen av adressfältet högst upp:
Mitten. Förfalskningar via IFRAME nedladdning.
Botten. Bild avrundar det falska fönstret.
Konsten är uppenbar om du ser det falska fönstret på ett annat operativsystem, som Linux, eftersom du får ett Linux-liknande Firefox-fönster med ett Mac-liknande "fönster" inuti.
De falska "window dressing"-komponenterna sticker verkligen ut som de bilder de verkligen är:
med själva fönsterkontrollerna och adressfältet högst upp.
Skulle du falla för det?
Om du någonsin har tagit skärmdumpar av appar och sedan öppnat skärmdumparna senare i din bildvisare, är vi villiga att slå vad om att du någon gång har lurat dig själv att behandla appens bild som om den vore en löpande kopia av själva appen.
Vi kommer att satsa på att du har klickat på eller tryckt på en app-i-en-app-bild på minst en i ditt liv och upptäckt att du undrar varför appen inte fungerade. (OK, det kanske du inte har, men det har vi verkligen gjort, till den grad av verklig förvirring.)
Naturligtvis, om du klickar på en app-skärmdump i en fotowebbläsare, löper du mycket liten risk, eftersom klicken eller tryckningarna helt enkelt inte kommer att göra vad du förväntar dig – ja, du kan faktiskt sluta med att redigera eller klottra linjer på bilden istället.
Men när det gäller en webbläsare-i-webbläsaren "konstverksattack" istället kan felriktade klick eller tryckningar i ett simulerat fönster vara farligt, eftersom du fortfarande är i ett aktivt webbläsarfönster, där JavaScript är i spel och där länkar fortfarande fungerar...
…du är helt enkelt inte i webbläsarfönstret du trodde, och du är inte heller på webbplatsen du trodde.
Ännu värre, alla JavaScript som körs i det aktiva webbläsarfönstret (som kom från den ursprungliga bedragarwebbplatsen du besökte) kan simulera en del av det förväntade beteendet hos ett äkta webbläsarpopupfönster för att lägga till realism, som att dra det, ändra storlek på det och Mer.
Som vi sa i början, om du väntar på ett riktigt popup-fönster och du ser något som ser ut som ett popup-fönster, komplett med realistiska webbläsarknappar plus ett adressfält som matchar vad du förväntade dig, och du har lite bråttom...
...vi kan fullt ut förstå hur du kan missuppfatta det falska fönstret som ett riktigt.
Steam-spel riktade
I Group-IB forskning vi nämnde ovan, använde den verkliga BinB-attacken som forskarna kom över Steam Games som ett lockbete.
En webbplats som ser legitim ut, även om en du aldrig hade hört talas om förut, skulle ge dig en chans att vinna platser vid en kommande spelturnering, till exempel...
...och när sajten sa att det dyker upp ett separat webbläsarfönster som innehåller en Steam-inloggningssida, presenterade den verkligen ett falskt webbläsarfönster i stället.
Forskarna noterade att angriparna inte bara använde BitB-trick för att söka efter användarnamn och lösenord, utan också försökte simulera Steam Guard-popups som bad om tvåfaktorsautentiseringskoder.
Lyckligtvis visade skärmdumparna som presenterades av Group-IB att de brottslingar som de råkade ut för i det här fallet inte var särskilt försiktiga med konst- och designaspekterna av deras bedrägeri, så de flesta användare såg förmodligen fejken.
Men även en välinformerad användare som har bråttom, eller någon som använder en webbläsare eller operativsystem de inte kände till, till exempel hemma hos en vän, kanske inte har märkt felaktigheterna.
Dessutom skulle mer noggranna brottslingar med största sannolikhet komma med mer realistiskt falskt innehåll, på samma sätt som inte alla e-postbedragare gör stavfel i sina meddelanden, vilket potentiellt leder till att fler människor ger bort sina åtkomstuppgifter.
Vad göra?
Här är tre tips:
- Browser-in-the-Browser-fönster är inte riktiga webbläsarfönster. Även om de kan verka som fönster på operativsystemnivå, med knappar och ikoner som ser ut precis som verkligheten, beter de sig inte som operativsystemfönster. De beter sig som webbsidor, för det är vad de är. Om du är misstänksam, försök att dra det misstänkta fönstret utanför huvudwebbläsarfönstret som innehåller det. Ett riktigt webbläsarfönster kommer att bete sig oberoende, så du kan flytta det utanför och bortom det ursprungliga webbläsarfönstret. Ett falskt webbläsarfönster kommer att "fängslas" i det riktiga fönstret det visas i, även om angriparen har använt JavaScript för att försöka simulera så mycket äkta beteende som möjligt. Detta kommer snabbt att ge bort att det är en del av en webbsida, inte ett riktigt fönster i sig.
- Undersök misstänkta rutor noggrant. Att realistiskt håna utseendet och känslan av ett operativsystems fönster inuti en webbsida är lätt att göra dåligt, men svårt att göra bra. Ta de extra sekunderna för att leta efter tydliga tecken på falskhet och inkonsekvens.
- Om du är osäker, ge inte ut det. Var misstänksam mot sajter som du aldrig har hört talas om, och som du inte har någon anledning att lita på, som plötsligt vill att du ska logga in via en tredjepartssajt.
Ha aldrig bråttom, för att ta dig tid kommer att göra dig mycket mindre sannolikt att se vad du tror finns där istället för vad ser vad faktiskt is där.
Med tre ord: Sluta. Tror. Ansluta.
Utvald bild av foto av appfönster som innehåller bild av foto av Magrittes "La Trahison des Images" skapad via wikipedia.
- BitB
- blockchain
- coingenius
- cryptocurrency plånböcker
- kryptoväxling
- Cybersäkerhet
- nätbrottslingar
- Cybersäkerhet
- dataförlust
- säkerhetstjänsten
- digitala plånböcker
- brandvägg
- kaspersky
- malware
- Mcafee
- MitB
- MITM
- Naken säkerhet
- NexBLOC
- Nätfiske
- plato
- plato ai
- Platon Data Intelligence
- Platon spel
- PlatonData
- platogaming
- Lurendrejeri
- VPN
- webbplats säkerhet
- zephyrnet
