นักวิจัยจากบริษัทข่าวกรองภัยคุกคาม Group-IB เพิ่งเขียนข้อความที่น่าสนใจ เรื่องจริง เกี่ยวกับกลอุบายฟิชชิ่งที่เรียบง่ายแต่ได้ผลอย่างน่าประหลาดใจที่รู้จักกันในชื่อ บิตบี, ย่อจาก เบราว์เซอร์ในเบราว์เซอร์.
คุณคงเคยได้ยินการโจมตีแบบ X-in-the-Y หลายประเภทมาก่อน โดยเฉพาะ มิตรไมตรี และ มิตรบี, ย่อจาก จอมบงการที่อยู่ตรงกลาง และ ตัวจัดการในเบราว์เซอร์.
ในการโจมตีแบบ MitM ผู้โจมตีที่ต้องการหลอกล่อให้คุณวางตำแหน่งตัวเองไว้ที่ใดที่หนึ่ง "ตรงกลาง" ของเครือข่าย ระหว่างคอมพิวเตอร์ของคุณกับเซิร์ฟเวอร์ที่คุณพยายามเข้าถึง
(พวกเขาอาจไม่ได้อยู่ตรงกลางอย่างแท้จริง ไม่ว่าจะในเชิงภูมิศาสตร์หรือเชิงกระโดด แต่ผู้โจมตี MitM อยู่ที่ไหนสักแห่ง ตาม เส้นทางไม่ได้อยู่ตรงปลายด้านใดด้านหนึ่ง)
แนวคิดก็คือแทนที่จะต้องเจาะเข้าไปในคอมพิวเตอร์ของคุณหรือเข้าไปในเซิร์ฟเวอร์ที่ปลายอีกด้านหนึ่ง พวกเขาหลอกให้คุณเชื่อมต่อกับพวกเขาแทน (หรือจงใจจัดการเส้นทางเครือข่ายของคุณ ซึ่งคุณไม่สามารถควบคุมได้อย่างง่ายดายเมื่อแพ็คเก็ตของคุณออกจาก เราเตอร์ของคุณเอง) จากนั้นพวกเขาก็แสร้งทำเป็นเป็นอีกด้านหนึ่ง – พร็อกซีที่มุ่งร้าย หากคุณต้องการ
พวกเขาส่งแพ็คเก็ตของคุณไปยังปลายทางอย่างเป็นทางการ สอดแนมพวกเขา และอาจเล่นซอกับพวกเขาระหว่างทาง จากนั้นได้รับคำตอบอย่างเป็นทางการ ซึ่งพวกเขาสามารถสอดแนมและปรับแต่งเป็นครั้งที่สอง และส่งกลับไปยังคุณราวกับว่าคุณ d เชื่อมต่อแบบ end-to-end อย่างที่คุณคาดไว้
หากคุณไม่ได้ใช้การเข้ารหัสแบบ end-to-end เช่น HTTPS เพื่อปกป้องทั้งการรักษาความลับ (ไม่มีการสอดแนม!) และความสมบูรณ์ (ไม่มีการปลอมแปลง!) ของการรับส่งข้อมูล คุณไม่น่าจะสังเกตเห็นหรือแม้กระทั่งสามารถ ตรวจพบว่ามีคนอื่นกำลังเปิดจดหมายดิจิทัลของคุณระหว่างทาง แล้วปิดผนึกอีกครั้งในภายหลัง
โจมตีที่ปลายด้านหนึ่ง
A มิตรบี การโจมตีมีจุดมุ่งหมายเพื่อทำงานในลักษณะเดียวกัน แต่เพื่อหลีกเลี่ยงปัญหาที่เกิดจาก HTTPS ซึ่งทำให้การโจมตีของ MitM ยากขึ้นมาก
ผู้โจมตีจาก MitM ไม่สามารถรบกวนการรับส่งข้อมูลที่เข้ารหัสด้วย HTTPS ได้โดยทันที พวกเขาไม่สามารถสอดแนมข้อมูลของคุณได้ เนื่องจากพวกเขาไม่มีคีย์การเข้ารหัสที่ใช้โดยแต่ละด้านเพื่อปกป้องข้อมูล พวกเขาไม่สามารถเปลี่ยนข้อมูลที่เข้ารหัสได้ เนื่องจากการตรวจสอบการเข้ารหัสที่ปลายแต่ละด้านจะส่งสัญญาณเตือน และพวกเขาไม่สามารถแสร้งว่าเป็นเซิร์ฟเวอร์ที่คุณกำลังเชื่อมต่ออยู่ เพราะพวกเขาไม่มีความลับในการเข้ารหัสที่เซิร์ฟเวอร์ใช้เพื่อพิสูจน์ตัวตน
การโจมตีของ MitB มักจะอาศัยการแอบแฝงมัลแวร์เข้าสู่คอมพิวเตอร์ของคุณก่อน
โดยทั่วไปแล้วจะยากกว่าการแตะเครือข่ายในบางจุด แต่จะทำให้ผู้โจมตีได้เปรียบอย่างมากหากพวกเขาสามารถจัดการได้
นั่นเป็นเพราะว่า หากพวกเขาสามารถแทรกตัวเองเข้าไปในเบราว์เซอร์ของคุณได้ พวกเขาจะได้เห็นและแก้ไขการรับส่งข้อมูลเครือข่ายของคุณ ก่อนที่เบราว์เซอร์ของคุณจะเข้ารหัสมัน สำหรับการส่ง ซึ่งจะยกเลิกการป้องกัน HTTPS ขาออก และ หลังจากที่เบราว์เซอร์ของคุณถอดรหัสมัน ระหว่างทางกลับ ทำให้การเข้ารหัสที่ใช้โดยเซิร์ฟเวอร์เป็นโมฆะเพื่อป้องกันการตอบกลับ
แล้ว BitB ล่ะ?
แต่แล้วอา .ล่ะ บิตบี จู่โจม?
เบราว์เซอร์ในเบราว์เซอร์ ค่อนข้างพูดง่าย และกลอุบายที่เกี่ยวข้องไม่ได้ทำให้อาชญากรไซเบอร์มีอำนาจมากเท่ากับการแฮ็กของ MitM หรือ MitB แต่แนวคิดนั้นเรียบง่ายจนต้องตบหน้าผาก และหากคุณรีบร้อนมากเกินไป ก็น่าแปลกใจ ง่ายที่จะตกหลุมรักมัน
แนวคิดของการโจมตีด้วย BitB คือการสร้างสิ่งที่ดูเหมือนหน้าต่างเบราว์เซอร์ป๊อปอัปที่สร้างขึ้นอย่างปลอดภัยโดยเบราว์เซอร์เอง แต่จริงๆ แล้วไม่มีอะไรมากไปกว่าหน้าเว็บที่แสดงในหน้าต่างเบราว์เซอร์ที่มีอยู่
คุณอาจคิดว่ากลอุบายประเภทนี้จะถึงวาระที่จะล้มเหลว เพียงเพราะเนื้อหาใดๆ ในไซต์ X ที่แอบอ้างว่ามาจากไซต์ Y จะแสดงขึ้นในเบราว์เซอร์เองว่ามาจาก URL ของไซต์ X
เหลือบมองที่แถบที่อยู่เว็บจะทำให้เห็นได้ชัดว่าคุณกำลังถูกโกหก และสิ่งที่คุณกำลังดูอยู่นั้นอาจเป็นไซต์ฟิชชิ่ง
ตัวอย่างศัตรู นี่คือภาพหน้าจอของ example.com
เว็บไซต์ที่ถ่ายใน Firefox บน Mac:
หากผู้โจมตีหลอกล่อคุณไปยังไซต์ปลอม คุณอาจตกหลุมรักภาพจริงหากพวกเขาคัดลอกเนื้อหาอย่างใกล้ชิด แต่แถบที่อยู่จะแจ้งให้คุณทราบว่าคุณไม่ได้อยู่ในไซต์ที่คุณกำลังค้นหา
ในการหลอกลวง Browser-in-the-Browser ดังนั้นเป้าหมายของผู้โจมตีคือการสร้างเว็บปกติ หน้า ที่ดูเหมือนเว็บ เว็บไซต์และเนื้อหา คุณคาดหวังด้วยการตกแต่งหน้าต่างและแถบที่อยู่ซึ่งจำลองให้สมจริงที่สุด
ในทางหนึ่ง การโจมตีด้วย BitB เป็นเรื่องเกี่ยวกับศิลปะมากกว่าวิทยาศาสตร์ และเป็นเรื่องเกี่ยวกับการออกแบบเว็บและการจัดการความคาดหวังมากกว่าการแฮ็กเครือข่าย
ตัวอย่างเช่น หากเราสร้างไฟล์รูปภาพที่สกรีนไว้ XNUMX ไฟล์ที่มีลักษณะดังนี้...
…จากนั้น HTML เรียบง่ายตามที่คุณเห็นด้านล่าง…
<html> <body> <div> <div><img src='./fake-top.png'></div> <p> <div><img src='./fake-bot.png'></div> </div> </body> </html>
…จะสร้างสิ่งที่ดูเหมือนหน้าต่างเบราว์เซอร์ภายในหน้าต่างเบราว์เซอร์ที่มีอยู่ดังนี้:
ในตัวอย่างพื้นฐานนี้ ปุ่ม macOS สามปุ่ม (ปิด ย่อเล็กสุด ขยายใหญ่สุด) ที่ด้านบนซ้ายจะไม่ทำอะไรเลย เพราะปุ่มเหล่านี้ไม่ใช่ปุ่มของระบบปฏิบัติการ มันก็แค่ รูปภาพของปุ่มและแถบที่อยู่ในหน้าต่างที่ดูเหมือนหน้าต่าง Firefox ไม่สามารถคลิกหรือแก้ไขได้ เพราะมันเหมือนกัน แค่ภาพหน้าจอ.
แต่ถ้าตอนนี้เราเพิ่ม IFRAME ลงใน HTML ที่เราแสดงไว้ข้างต้น เพื่อดูดเนื้อหาปลอมจากเว็บไซต์ที่ไม่เกี่ยวข้อง example.com
, แบบนี้…
<html> <body> <div> <div><img src='./fake-top.png' /></div> <div><iframe src='https:/dodgy.test/phish.html' frameBorder=0 width=650 height=220></iframe></div> <div><img src='./fake-bot.png' /></div> </div> </body> </html>
…คุณต้องยอมรับว่าเนื้อหาภาพที่ได้นั้นดูเป็น เหมือนกับหน้าต่างเบราว์เซอร์แบบสแตนด์อโลนถึงแม้ว่าจริงๆ แล้วมันคือ หน้าเว็บภายในหน้าต่างเบราว์เซอร์อื่น.
เนื้อหาข้อความและลิงก์ที่คลิกได้ที่คุณเห็นด้านล่างถูกดาวน์โหลดจาก dodgy.test
ลิงก์ HTTPS ในไฟล์ HTML ด้านบน ซึ่งมีโค้ด HTML นี้:
<html> <body style='font-family:sans-serif'> <div style='width:530px;margin:2em;padding:0em 1em 1em 1em;'> <h1>Example Domain</h1> <p>This window is a simulacrum of the real website, but it did not come from the URL shown above. It looks as though it might have, though, doesn't it? <p><a href='https://dodgy.test/phish.click'>Bogus information...</a> </div> </body> </html>
การเพิ่มเนื้อหากราฟิกและการต่อท้ายข้อความ HTML ทำให้ดูเหมือนว่า HTML นั้นมาจาก example.com
ขอบคุณภาพหน้าจอของแถบที่อยู่ด้านบน:
สิ่งประดิษฐ์นั้นชัดเจนหากคุณดูหน้าต่างปลอมบนระบบปฏิบัติการอื่น เช่น Linux เพราะคุณจะได้หน้าต่าง Firefox ที่เหมือน Linux โดยมี "หน้าต่าง" ที่เหมือน Mac อยู่ข้างใน
ส่วนประกอบ "การตกแต่งหน้าต่าง" ปลอมนั้นโดดเด่นมากเนื่องจากภาพจริง ๆ :
คุณจะตกหลุมรักมันหรือไม่?
หากคุณเคยถ่ายภาพหน้าจอของแอพแล้วเปิดภาพหน้าจอในภายหลังในโปรแกรมดูรูปภาพของคุณ เรายินดีเดิมพันว่าในบางจุด คุณหลอกตัวเองให้ปฏิบัติกับรูปภาพของแอพราวกับว่ามันเป็นสำเนาของ แอพเอง
เราจะเดิมพันว่าคุณได้คลิกหรือแตะที่ภาพในแอปอย่างน้อยหนึ่งภาพในชีวิตของคุณ และพบว่าคุณสงสัยว่าเหตุใดแอปจึงไม่ทำงาน (ตกลงบางทีคุณอาจไม่มี แต่เรามีแน่นอน จนถึงจุดแห่งความสับสนอย่างแท้จริง)
แน่นอน หากคุณคลิกที่ภาพหน้าจอของแอพในเบราว์เซอร์รูปภาพ คุณมีความเสี่ยงน้อยมาก เพราะการคลิกหรือการแตะนั้นไม่ได้เป็นไปตามที่คุณคาดหวัง จริงๆ แล้ว คุณอาจจบลงด้วยการแก้ไขหรือขีดเส้นบนรูปภาพ แทนที่.
แต่เมื่อพูดถึงก เบราว์เซอร์ในเบราว์เซอร์ “การโจมตีงานศิลปะ” แทน การคลิกหรือแตะผิดทิศทางในหน้าต่างจำลองอาจเป็นอันตรายได้ เนื่องจากคุณยังคงอยู่ในหน้าต่างเบราว์เซอร์ที่ทำงานอยู่ ซึ่ง JavaScript กำลังเล่นอยู่ และตำแหน่งที่ลิงก์ยังคงทำงานอยู่...
…คุณไม่ได้อยู่ในหน้าต่างเบราว์เซอร์ที่คุณคิด และคุณไม่ได้อยู่ในเว็บไซต์ที่คุณคิดเช่นกัน
ที่แย่กว่านั้นคือ JavaScript ใดๆ ที่ทำงานอยู่ในหน้าต่างเบราว์เซอร์ที่ใช้งานอยู่ (ซึ่งมาจากไซต์หลอกลวงดั้งเดิมที่คุณเยี่ยมชม) สามารถจำลองการทำงานที่คาดหวังของหน้าต่างป๊อปอัปของเบราว์เซอร์ของแท้เพื่อเพิ่มความสมจริง เช่น การลาก การปรับขนาด และ มากกว่า.
อย่างที่เราบอกไปในตอนต้นว่า หากคุณกำลังรอหน้าต่างป๊อปอัปจริง ๆ แล้วเห็นอะไรบางอย่าง ดูเหมือนกับ หน้าต่างป๊อปอัปพร้อมปุ่มเบราว์เซอร์ที่เหมือนจริงพร้อมแถบที่อยู่ที่ตรงกับสิ่งที่คุณคาดหวัง และคุณกำลังรีบ...
…เราสามารถเข้าใจได้อย่างถ่องแท้ว่าคุณอาจจำหน้าต่างปลอมเป็นหน้าต่างจริงได้อย่างไร
เกม Steam กำหนดเป้าหมาย
ในกลุ่ม-IB การวิจัย ที่เราได้กล่าวมาข้างต้น การโจมตีของ BinB ในโลกแห่งความเป็นจริงที่นักวิจัยมารุม ใช้ Steam Games เป็นตัวล่อ
ไซต์ที่ดูถูกกฎหมาย แม้ว่าคุณจะไม่เคยได้ยินชื่อมาก่อน แต่ก็จะเสนอโอกาสให้คุณคว้าตำแหน่งในการแข่งขันเกมที่กำลังจะจัดขึ้น เช่น...
…และเมื่อไซต์บอกว่ามันเปิดหน้าต่างเบราว์เซอร์แยกต่างหากที่มีหน้าล็อกอิน Steam มันแสดงหน้าต่างปลอมของเบราว์เซอร์ในเบราว์เซอร์แทน
นักวิจัยตั้งข้อสังเกตว่าผู้โจมตีไม่เพียงแต่ใช้กลอุบายของ BitB เพื่อค้นหาชื่อผู้ใช้และรหัสผ่าน แต่ยังพยายามจำลองป๊อปอัป Steam Guard เพื่อขอรหัสการตรวจสอบสิทธิ์แบบสองปัจจัยด้วย
โชคดีที่ภาพหน้าจอที่นำเสนอโดย Group-IB แสดงให้เห็นว่าอาชญากรที่พวกเขาพบในกรณีนี้ไม่ได้ระมัดระวังอย่างมากเกี่ยวกับแง่มุมของศิลปะและการออกแบบของการหลอกลวงของพวกเขา ดังนั้นผู้ใช้ส่วนใหญ่อาจเห็นการปลอมแปลง
แต่แม้กระทั่งผู้ใช้ที่มีข้อมูลดีรีบร้อน หรือใครก็ตามที่ใช้เบราว์เซอร์หรือระบบปฏิบัติการที่พวกเขาไม่คุ้นเคย เช่น ที่บ้านเพื่อน ก็อาจไม่ได้สังเกตเห็นความไม่ถูกต้อง
นอกจากนี้ อาชญากรที่จู้จี้จุกจิกมากขึ้นมักจะสร้างเนื้อหาปลอมที่เหมือนจริงมากขึ้น ในลักษณะเดียวกับที่ผู้หลอกลวงทางอีเมลบางคนไม่ได้สะกดผิดในข้อความ จึงอาจทำให้ผู้คนจำนวนมากขึ้นเปิดเผยข้อมูลรับรองการเข้าถึง
จะทำอย่างไร?
นี่คือสามเคล็ดลับ:
- หน้าต่างเบราว์เซอร์ในเบราว์เซอร์ไม่ใช่หน้าต่างเบราว์เซอร์จริง แม้ว่าอาจดูเหมือนหน้าต่างระดับระบบปฏิบัติการ แต่มีปุ่มและไอคอนที่ดูเหมือนของจริง แต่ก็ไม่ได้ทำงานเหมือนหน้าต่างระบบปฏิบัติการ พวกเขาทำตัวเหมือนหน้าเว็บเพราะนั่นคือสิ่งที่พวกเขาเป็น หากคุณสงสัย ลองลากหน้าต่างต้องสงสัยออกไปนอกหน้าต่างเบราว์เซอร์หลักที่มีหน้าต่างนั้นอยู่. หน้าต่างเบราว์เซอร์จริงจะทำงานแยกจากกัน ดังนั้นคุณจึงสามารถย้ายหน้าต่างออกไปนอกหน้าต่างเบราว์เซอร์เดิมได้ หน้าต่างเบราว์เซอร์ปลอมจะถูก "กักขัง" ภายในหน้าต่างจริงที่แสดง แม้ว่าผู้โจมตีจะใช้ JavaScript เพื่อพยายามจำลองพฤติกรรมที่ดูเป็นของแท้ให้มากที่สุด สิ่งนี้จะแจ้งให้ทราบอย่างรวดเร็วว่าเป็นส่วนหนึ่งของหน้าเว็บไม่ใช่หน้าต่างที่แท้จริง
- ตรวจสอบหน้าต่างต้องสงสัยอย่างระมัดระวัง การเยาะเย้ยรูปลักษณ์และความรู้สึกของหน้าต่างระบบปฏิบัติการภายในหน้าเว็บนั้นทำได้ง่ายเมื่อทำไม่ดี แต่ทำได้ยาก ใช้เวลาสองสามวินาทีพิเศษเหล่านั้นเพื่อค้นหาสัญญาณปากโป้งของการปลอมแปลงและความไม่สอดคล้องกัน
- ถ้าสงสัยอย่าปล่อย สงสัยไซต์ที่คุณไม่เคยได้ยินมาก่อน และคุณไม่มีเหตุผลที่จะเชื่อถือ ที่ต้องการให้คุณเข้าสู่ระบบผ่านเว็บไซต์บุคคลที่สามในทันใด
อย่ารีบร้อนเพราะการใช้เวลาของคุณจะทำให้คุณมีโอกาสน้อยลงที่จะเห็นสิ่งที่คุณ คิด แทนที่จะเห็นสิ่งที่เป็นจริง is ที่นั่น
ในสามคำ: หยุด. คิด. เชื่อมต่อ.
รูปภาพเด่นของรูปภาพของหน้าต่างแอพที่มีรูปภาพของ “La Trahison des Images” ของ Magritte ที่สร้างขึ้นผ่าน วิกิพีเดีย.
- บิตบี
- blockchain
- เหรียญอัจฉริยะ
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- ข้อมูลสูญหาย
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- Kaspersky
- มัลแวร์
- แมคคาฟี
- มิตรบี
- MITM
- ความปลอดภัยเปล่า
- เน็กซ์บล๊อก
- ฟิชชิ่ง
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- การหลอกลวง
- VPN
- ความปลอดภัยของเว็บไซต์
- ลมทะเล