การรักษาความปลอดภัยที่จริงจัง: การโจมตีเบราว์เซอร์ในเบราว์เซอร์ – ระวังหน้าต่างที่ไม่ใช่หน้าต่าง!

นักวิจัยจากบริษัทข่าวกรองภัยคุกคาม Group-IB เพิ่งเขียนข้อความที่น่าสนใจ เรื่องจริง เกี่ยวกับกลอุบายฟิชชิ่งที่เรียบง่ายแต่ได้ผลอย่างน่าประหลาดใจที่รู้จักกันในชื่อ บิตบี, ย่อจาก เบราว์เซอร์ในเบราว์เซอร์.

คุณคงเคยได้ยินการโจมตีแบบ X-in-the-Y หลายประเภทมาก่อน โดยเฉพาะ มิตรไมตรี และ มิตรบี, ย่อจาก จอมบงการที่อยู่ตรงกลาง และ ตัวจัดการในเบราว์เซอร์.

ในการโจมตีแบบ MitM ผู้โจมตีที่ต้องการหลอกล่อให้คุณวางตำแหน่งตัวเองไว้ที่ใดที่หนึ่ง "ตรงกลาง" ของเครือข่าย ระหว่างคอมพิวเตอร์ของคุณกับเซิร์ฟเวอร์ที่คุณพยายามเข้าถึง

(พวกเขาอาจไม่ได้อยู่ตรงกลางอย่างแท้จริง ไม่ว่าจะในเชิงภูมิศาสตร์หรือเชิงกระโดด แต่ผู้โจมตี MitM อยู่ที่ไหนสักแห่ง ตาม เส้นทางไม่ได้อยู่ตรงปลายด้านใดด้านหนึ่ง)

แนวคิดก็คือแทนที่จะต้องเจาะเข้าไปในคอมพิวเตอร์ของคุณหรือเข้าไปในเซิร์ฟเวอร์ที่ปลายอีกด้านหนึ่ง พวกเขาหลอกให้คุณเชื่อมต่อกับพวกเขาแทน (หรือจงใจจัดการเส้นทางเครือข่ายของคุณ ซึ่งคุณไม่สามารถควบคุมได้อย่างง่ายดายเมื่อแพ็คเก็ตของคุณออกจาก เราเตอร์ของคุณเอง) จากนั้นพวกเขาก็แสร้งทำเป็นเป็นอีกด้านหนึ่ง – พร็อกซีที่มุ่งร้าย หากคุณต้องการ

พวกเขาส่งแพ็คเก็ตของคุณไปยังปลายทางอย่างเป็นทางการ สอดแนมพวกเขา และอาจเล่นซอกับพวกเขาระหว่างทาง จากนั้นได้รับคำตอบอย่างเป็นทางการ ซึ่งพวกเขาสามารถสอดแนมและปรับแต่งเป็นครั้งที่สอง และส่งกลับไปยังคุณราวกับว่าคุณ d เชื่อมต่อแบบ end-to-end อย่างที่คุณคาดไว้

หากคุณไม่ได้ใช้การเข้ารหัสแบบ end-to-end เช่น HTTPS เพื่อปกป้องทั้งการรักษาความลับ (ไม่มีการสอดแนม!) และความสมบูรณ์ (ไม่มีการปลอมแปลง!) ของการรับส่งข้อมูล คุณไม่น่าจะสังเกตเห็นหรือแม้กระทั่งสามารถ ตรวจพบว่ามีคนอื่นกำลังเปิดจดหมายดิจิทัลของคุณระหว่างทาง แล้วปิดผนึกอีกครั้งในภายหลัง

โจมตีที่ปลายด้านหนึ่ง

A มิตรบี การโจมตีมีจุดมุ่งหมายเพื่อทำงานในลักษณะเดียวกัน แต่เพื่อหลีกเลี่ยงปัญหาที่เกิดจาก HTTPS ซึ่งทำให้การโจมตีของ MitM ยากขึ้นมาก

ผู้โจมตีจาก MitM ไม่สามารถรบกวนการรับส่งข้อมูลที่เข้ารหัสด้วย HTTPS ได้โดยทันที พวกเขาไม่สามารถสอดแนมข้อมูลของคุณได้ เนื่องจากพวกเขาไม่มีคีย์การเข้ารหัสที่ใช้โดยแต่ละด้านเพื่อปกป้องข้อมูล พวกเขาไม่สามารถเปลี่ยนข้อมูลที่เข้ารหัสได้ เนื่องจากการตรวจสอบการเข้ารหัสที่ปลายแต่ละด้านจะส่งสัญญาณเตือน และพวกเขาไม่สามารถแสร้งว่าเป็นเซิร์ฟเวอร์ที่คุณกำลังเชื่อมต่ออยู่ เพราะพวกเขาไม่มีความลับในการเข้ารหัสที่เซิร์ฟเวอร์ใช้เพื่อพิสูจน์ตัวตน

การโจมตีของ MitB มักจะอาศัยการแอบแฝงมัลแวร์เข้าสู่คอมพิวเตอร์ของคุณก่อน

โดยทั่วไปแล้วจะยากกว่าการแตะเครือข่ายในบางจุด แต่จะทำให้ผู้โจมตีได้เปรียบอย่างมากหากพวกเขาสามารถจัดการได้

นั่นเป็นเพราะว่า หากพวกเขาสามารถแทรกตัวเองเข้าไปในเบราว์เซอร์ของคุณได้ พวกเขาจะได้เห็นและแก้ไขการรับส่งข้อมูลเครือข่ายของคุณ ก่อนที่เบราว์เซอร์ของคุณจะเข้ารหัสมัน สำหรับการส่ง ซึ่งจะยกเลิกการป้องกัน HTTPS ขาออก และ หลังจากที่เบราว์เซอร์ของคุณถอดรหัสมัน ระหว่างทางกลับ ทำให้การเข้ารหัสที่ใช้โดยเซิร์ฟเวอร์เป็นโมฆะเพื่อป้องกันการตอบกลับ

แล้ว BitB ล่ะ?

แต่แล้วอา .ล่ะ บิตบี จู่โจม?

เบราว์เซอร์ในเบราว์เซอร์ ค่อนข้างพูดง่าย และกลอุบายที่เกี่ยวข้องไม่ได้ทำให้อาชญากรไซเบอร์มีอำนาจมากเท่ากับการแฮ็กของ MitM หรือ MitB แต่แนวคิดนั้นเรียบง่ายจนต้องตบหน้าผาก และหากคุณรีบร้อนมากเกินไป ก็น่าแปลกใจ ง่ายที่จะตกหลุมรักมัน

แนวคิดของการโจมตีด้วย BitB คือการสร้างสิ่งที่ดูเหมือนหน้าต่างเบราว์เซอร์ป๊อปอัปที่สร้างขึ้นอย่างปลอดภัยโดยเบราว์เซอร์เอง แต่จริงๆ แล้วไม่มีอะไรมากไปกว่าหน้าเว็บที่แสดงในหน้าต่างเบราว์เซอร์ที่มีอยู่

คุณอาจคิดว่ากลอุบายประเภทนี้จะถึงวาระที่จะล้มเหลว เพียงเพราะเนื้อหาใดๆ ในไซต์ X ที่แอบอ้างว่ามาจากไซต์ Y จะแสดงขึ้นในเบราว์เซอร์เองว่ามาจาก URL ของไซต์ X

เหลือบมองที่แถบที่อยู่เว็บจะทำให้เห็นได้ชัดว่าคุณกำลังถูกโกหก และสิ่งที่คุณกำลังดูอยู่นั้นอาจเป็นไซต์ฟิชชิ่ง

ตัวอย่างศัตรู นี่คือภาพหน้าจอของ example.com เว็บไซต์ที่ถ่ายใน Firefox บน Mac:

หากผู้โจมตีหลอกล่อคุณไปยังไซต์ปลอม คุณอาจตกหลุมรักภาพจริงหากพวกเขาคัดลอกเนื้อหาอย่างใกล้ชิด แต่แถบที่อยู่จะแจ้งให้คุณทราบว่าคุณไม่ได้อยู่ในไซต์ที่คุณกำลังค้นหา

ในการหลอกลวง Browser-in-the-Browser ดังนั้นเป้าหมายของผู้โจมตีคือการสร้างเว็บปกติ หน้า ที่ดูเหมือนเว็บ เว็บไซต์และเนื้อหา คุณคาดหวังด้วยการตกแต่งหน้าต่างและแถบที่อยู่ซึ่งจำลองให้สมจริงที่สุด

ในทางหนึ่ง การโจมตีด้วย BitB เป็นเรื่องเกี่ยวกับศิลปะมากกว่าวิทยาศาสตร์ และเป็นเรื่องเกี่ยวกับการออกแบบเว็บและการจัดการความคาดหวังมากกว่าการแฮ็กเครือข่าย

ตัวอย่างเช่น หากเราสร้างไฟล์รูปภาพที่สกรีนไว้ XNUMX ไฟล์ที่มีลักษณะดังนี้...

…จากนั้น HTML เรียบง่ายตามที่คุณเห็นด้านล่าง…

<html>
   <body>
      <div>
         <div><img src='./fake-top.png'></div>
         <p>
         <div><img src='./fake-bot.png'></div>
      </div>
   </body>
</html>

…จะสร้างสิ่งที่ดูเหมือนหน้าต่างเบราว์เซอร์ภายในหน้าต่างเบราว์เซอร์ที่มีอยู่ดังนี้:

ในตัวอย่างพื้นฐานนี้ ปุ่ม macOS สามปุ่ม (ปิด ย่อเล็กสุด ขยายใหญ่สุด) ที่ด้านบนซ้ายจะไม่ทำอะไรเลย เพราะปุ่มเหล่านี้ไม่ใช่ปุ่มของระบบปฏิบัติการ มันก็แค่ รูปภาพของปุ่มและแถบที่อยู่ในหน้าต่างที่ดูเหมือนหน้าต่าง Firefox ไม่สามารถคลิกหรือแก้ไขได้ เพราะมันเหมือนกัน แค่ภาพหน้าจอ.

แต่ถ้าตอนนี้เราเพิ่ม IFRAME ลงใน HTML ที่เราแสดงไว้ข้างต้น เพื่อดูดเนื้อหาปลอมจากเว็บไซต์ที่ไม่เกี่ยวข้อง example.com, แบบนี้…

<html>
   <body>
      <div>
         <div><img src='./fake-top.png' /></div>   
         <div><iframe src='https:/dodgy.test/phish.html' frameBorder=0 width=650 height=220></iframe></div>
         <div><img src='./fake-bot.png' /></div>
      </div>
   </body>
</html>

…คุณต้องยอมรับว่าเนื้อหาภาพที่ได้นั้นดูเป็น เหมือนกับหน้าต่างเบราว์เซอร์แบบสแตนด์อโลนถึงแม้ว่าจริงๆ แล้วมันคือ หน้าเว็บภายในหน้าต่างเบราว์เซอร์อื่น.

เนื้อหาข้อความและลิงก์ที่คลิกได้ที่คุณเห็นด้านล่างถูกดาวน์โหลดจาก dodgy.test ลิงก์ HTTPS ในไฟล์ HTML ด้านบน ซึ่งมีโค้ด HTML นี้:

<html>
   <body style='font-family:sans-serif'>
      <div style='width:530px;margin:2em;padding:0em 1em 1em 1em;'>
         <h1>Example Domain</h1>

         <p>This window is a simulacrum of the real website,
         but it did not come from the URL shown above.
         It looks as though it might have, though, doesn't it?

         <p><a href='https://dodgy.test/phish.click'>Bogus information...</a>
      </div>
   </body>
</html>

การเพิ่มเนื้อหากราฟิกและการต่อท้ายข้อความ HTML ทำให้ดูเหมือนว่า HTML นั้นมาจาก example.comขอบคุณภาพหน้าจอของแถบที่อยู่ด้านบน:

สิ่งประดิษฐ์นั้นชัดเจนหากคุณดูหน้าต่างปลอมบนระบบปฏิบัติการอื่น เช่น Linux เพราะคุณจะได้หน้าต่าง Firefox ที่เหมือน Linux โดยมี "หน้าต่าง" ที่เหมือน Mac อยู่ข้างใน

ส่วนประกอบ "การตกแต่งหน้าต่าง" ปลอมนั้นโดดเด่นมากเนื่องจากภาพจริง ๆ :

คุณจะตกหลุมรักมันหรือไม่?

หากคุณเคยถ่ายภาพหน้าจอของแอพแล้วเปิดภาพหน้าจอในภายหลังในโปรแกรมดูรูปภาพของคุณ เรายินดีเดิมพันว่าในบางจุด คุณหลอกตัวเองให้ปฏิบัติกับรูปภาพของแอพราวกับว่ามันเป็นสำเนาของ แอพเอง

เราจะเดิมพันว่าคุณได้คลิกหรือแตะที่ภาพในแอปอย่างน้อยหนึ่งภาพในชีวิตของคุณ และพบว่าคุณสงสัยว่าเหตุใดแอปจึงไม่ทำงาน (ตกลงบางทีคุณอาจไม่มี แต่เรามีแน่นอน จนถึงจุดแห่งความสับสนอย่างแท้จริง)

แน่นอน หากคุณคลิกที่ภาพหน้าจอของแอพในเบราว์เซอร์รูปภาพ คุณมีความเสี่ยงน้อยมาก เพราะการคลิกหรือการแตะนั้นไม่ได้เป็นไปตามที่คุณคาดหวัง จริงๆ แล้ว คุณอาจจบลงด้วยการแก้ไขหรือขีดเส้นบนรูปภาพ แทนที่.

แต่เมื่อพูดถึงก เบราว์เซอร์ในเบราว์เซอร์ “การโจมตีงานศิลปะ” แทน การคลิกหรือแตะผิดทิศทางในหน้าต่างจำลองอาจเป็นอันตรายได้ เนื่องจากคุณยังคงอยู่ในหน้าต่างเบราว์เซอร์ที่ทำงานอยู่ ซึ่ง JavaScript กำลังเล่นอยู่ และตำแหน่งที่ลิงก์ยังคงทำงานอยู่...

…คุณไม่ได้อยู่ในหน้าต่างเบราว์เซอร์ที่คุณคิด และคุณไม่ได้อยู่ในเว็บไซต์ที่คุณคิดเช่นกัน

ที่แย่กว่านั้นคือ JavaScript ใดๆ ที่ทำงานอยู่ในหน้าต่างเบราว์เซอร์ที่ใช้งานอยู่ (ซึ่งมาจากไซต์หลอกลวงดั้งเดิมที่คุณเยี่ยมชม) สามารถจำลองการทำงานที่คาดหวังของหน้าต่างป๊อปอัปของเบราว์เซอร์ของแท้เพื่อเพิ่มความสมจริง เช่น การลาก การปรับขนาด และ มากกว่า.

อย่างที่เราบอกไปในตอนต้นว่า หากคุณกำลังรอหน้าต่างป๊อปอัปจริง ๆ แล้วเห็นอะไรบางอย่าง ดูเหมือนกับ หน้าต่างป๊อปอัปพร้อมปุ่มเบราว์เซอร์ที่เหมือนจริงพร้อมแถบที่อยู่ที่ตรงกับสิ่งที่คุณคาดหวัง และคุณกำลังรีบ...

…เราสามารถเข้าใจได้อย่างถ่องแท้ว่าคุณอาจจำหน้าต่างปลอมเป็นหน้าต่างจริงได้อย่างไร

เกม Steam กำหนดเป้าหมาย

ในกลุ่ม-IB การวิจัย ที่เราได้กล่าวมาข้างต้น การโจมตีของ BinB ในโลกแห่งความเป็นจริงที่นักวิจัยมารุม ใช้ Steam Games เป็นตัวล่อ

ไซต์ที่ดูถูกกฎหมาย แม้ว่าคุณจะไม่เคยได้ยินชื่อมาก่อน แต่ก็จะเสนอโอกาสให้คุณคว้าตำแหน่งในการแข่งขันเกมที่กำลังจะจัดขึ้น เช่น...

…และเมื่อไซต์บอกว่ามันเปิดหน้าต่างเบราว์เซอร์แยกต่างหากที่มีหน้าล็อกอิน Steam มันแสดงหน้าต่างปลอมของเบราว์เซอร์ในเบราว์เซอร์แทน

นักวิจัยตั้งข้อสังเกตว่าผู้โจมตีไม่เพียงแต่ใช้กลอุบายของ BitB เพื่อค้นหาชื่อผู้ใช้และรหัสผ่าน แต่ยังพยายามจำลองป๊อปอัป Steam Guard เพื่อขอรหัสการตรวจสอบสิทธิ์แบบสองปัจจัยด้วย

โชคดีที่ภาพหน้าจอที่นำเสนอโดย Group-IB แสดงให้เห็นว่าอาชญากรที่พวกเขาพบในกรณีนี้ไม่ได้ระมัดระวังอย่างมากเกี่ยวกับแง่มุมของศิลปะและการออกแบบของการหลอกลวงของพวกเขา ดังนั้นผู้ใช้ส่วนใหญ่อาจเห็นการปลอมแปลง

แต่แม้กระทั่งผู้ใช้ที่มีข้อมูลดีรีบร้อน หรือใครก็ตามที่ใช้เบราว์เซอร์หรือระบบปฏิบัติการที่พวกเขาไม่คุ้นเคย เช่น ที่บ้านเพื่อน ก็อาจไม่ได้สังเกตเห็นความไม่ถูกต้อง

นอกจากนี้ อาชญากรที่จู้จี้จุกจิกมากขึ้นมักจะสร้างเนื้อหาปลอมที่เหมือนจริงมากขึ้น ในลักษณะเดียวกับที่ผู้หลอกลวงทางอีเมลบางคนไม่ได้สะกดผิดในข้อความ จึงอาจทำให้ผู้คนจำนวนมากขึ้นเปิดเผยข้อมูลรับรองการเข้าถึง

จะทำอย่างไร?

นี่คือสามเคล็ดลับ:

• หน้าต่างเบราว์เซอร์ในเบราว์เซอร์ไม่ใช่หน้าต่างเบราว์เซอร์จริง แม้ว่าอาจดูเหมือนหน้าต่างระดับระบบปฏิบัติการ แต่มีปุ่มและไอคอนที่ดูเหมือนของจริง แต่ก็ไม่ได้ทำงานเหมือนหน้าต่างระบบปฏิบัติการ พวกเขาทำตัวเหมือนหน้าเว็บเพราะนั่นคือสิ่งที่พวกเขาเป็น หากคุณสงสัย ลองลากหน้าต่างต้องสงสัยออกไปนอกหน้าต่างเบราว์เซอร์หลักที่มีหน้าต่างนั้นอยู่. หน้าต่างเบราว์เซอร์จริงจะทำงานแยกจากกัน ดังนั้นคุณจึงสามารถย้ายหน้าต่างออกไปนอกหน้าต่างเบราว์เซอร์เดิมได้ หน้าต่างเบราว์เซอร์ปลอมจะถูก "กักขัง" ภายในหน้าต่างจริงที่แสดง แม้ว่าผู้โจมตีจะใช้ JavaScript เพื่อพยายามจำลองพฤติกรรมที่ดูเป็นของแท้ให้มากที่สุด สิ่งนี้จะแจ้งให้ทราบอย่างรวดเร็วว่าเป็นส่วนหนึ่งของหน้าเว็บไม่ใช่หน้าต่างที่แท้จริง
• ตรวจสอบหน้าต่างต้องสงสัยอย่างระมัดระวัง การเยาะเย้ยรูปลักษณ์และความรู้สึกของหน้าต่างระบบปฏิบัติการภายในหน้าเว็บนั้นทำได้ง่ายเมื่อทำไม่ดี แต่ทำได้ยาก ใช้เวลาสองสามวินาทีพิเศษเหล่านั้นเพื่อค้นหาสัญญาณปากโป้งของการปลอมแปลงและความไม่สอดคล้องกัน
• ถ้าสงสัยอย่าปล่อย สงสัยไซต์ที่คุณไม่เคยได้ยินมาก่อน และคุณไม่มีเหตุผลที่จะเชื่อถือ ที่ต้องการให้คุณเข้าสู่ระบบผ่านเว็บไซต์บุคคลที่สามในทันใด

อย่ารีบร้อนเพราะการใช้เวลาของคุณจะทำให้คุณมีโอกาสน้อยลงที่จะเห็นสิ่งที่คุณ คิด แทนที่จะเห็นสิ่งที่เป็นจริง is ที่นั่น

ในสามคำ: หยุด. คิด. เชื่อมต่อ.

---

รูปภาพเด่นของรูปภาพของหน้าต่างแอพที่มีรูปภาพของ “La Trahison des Images” ของ Magritte ที่สร้างขึ้นผ่าน วิกิพีเดีย.

---