Tehdit istihbarat şirketi Group-IB'deki araştırmacılar az önce ilgi çekici bir yazı yazdılar. gerçek hayat hikayesi olarak bilinen can sıkıcı derecede basit ama şaşırtıcı derecede etkili bir kimlik avı numarası hakkında BitBiçin kısa tarayıcı-in-the-tarayıcı.
Muhtemelen daha önce birkaç tür X-in-the-Y saldırısı duymuşsunuzdur, özellikle MitM ve MitBiçin kısa ortadaki manipülatör ve tarayıcıda manipülatör.
Bir MitM saldırısında, sizi kandırmak isteyen saldırganlar, kendilerini ağın “ortasında”, bilgisayarınız ile ulaşmaya çalıştığınız sunucu arasında konumlandırırlar.
(Coğrafi veya atlama açısından kelimenin tam anlamıyla ortada olmayabilirler, ancak MitM saldırganları bir yerlerde boyunca rota, her iki uçta da değil.)
Buradaki fikir, bilgisayarınıza veya diğer uçtaki sunucuya girmek yerine, sizi onlara bağlanmaya (veya paketleriniz çıktıktan sonra kolayca kontrol edemediğiniz ağ yolunuzu kasıtlı olarak değiştirmeye) çekmeleridir. kendi yönlendiriciniz) ve sonra diğer uçmuş gibi davranırlar - isterseniz kötü niyetli bir proxy.
Paketlerinizi resmi varış noktasına iletirler, onları gözetlerler ve belki de yolda onlarla oynarlar, sonra ikinci kez göz atabilecekleri ve ince ayar yapabilecekleri resmi yanıtları alırlar ve sanki sizmişsiniz gibi size geri iletirler. d tam beklediğiniz gibi uçtan uca bağlandı.
Trafiğin hem gizliliğini (gözlem yok!) hem de bütünlüğünü (kurcalama yok!) korumak için HTTPS gibi uçtan uca şifreleme kullanmıyorsanız, muhtemelen bunu fark edemezsiniz, hatta bunu yapamazsınız. Başka birinin buğulaması olduğunu tespit edin, geçiş sırasında dijital mektuplarınızı açın ve ardından tekrar mühürleyin.
Bir ucundan saldırmak
A MitB saldırı benzer bir şekilde çalışmayı, ancak MitM saldırısını çok daha zorlaştıran HTTPS'nin neden olduğu sorunu ortadan kaldırmayı amaçlar.
MitM saldırganları, HTTPS ile şifrelenmiş trafiğe kolayca müdahale edemezler: Verilerinizi gözetleyemezler, çünkü her iki uç tarafından onu korumak için kullanılan şifreleme anahtarlarına sahip değildirler; şifrelenmiş verileri değiştiremezler, çünkü her iki uçtaki kriptografik doğrulama alarmı yükseltir; ve bağlandığınız sunucu gibi davranamazlar çünkü sunucunun kimliğini kanıtlamak için kullandığı şifreleme sırrına sahip değillerdir.
Bu nedenle bir MitB saldırısı, tipik olarak, önce bilgisayarınıza kötü amaçlı yazılımların gizlice girmesine dayanır.
Bu, genellikle bir noktada ağa girmekten daha zordur, ancak bunu başarabilirlerse saldırganlara büyük bir avantaj sağlar.
Bunun nedeni, kendilerini doğrudan tarayıcınızın içine yerleştirebilirlerse, ağ trafiğinizi görebilir ve değiştirebilirler. tarayıcınız şifrelemeden önce herhangi bir giden HTTPS korumasını iptal eden gönderme için ve tarayıcınız şifresini çözdükten sonra geri dönerken, sunucunun yanıtlarını korumak için uyguladığı şifrelemeyi geçersiz kılar.
BitB ne işe yarar?
Ama ne hakkında bir BitB saldırı?
tarayıcı-in-the-tarayıcı oldukça ağız dolusu ve söz konusu hile, siber suçlulara bir MitM veya MitB hack'i kadar güç vermiyor, ancak konsept son derece basit ve çok aceleniz varsa, şaşırtıcı bir şekilde buna düşmek kolay.
Bir BitB saldırısı fikri, tarayıcının kendisi tarafından güvenli bir şekilde oluşturulmuş bir açılır tarayıcı penceresi gibi görünen bir şey oluşturmaktır, ancak bu aslında mevcut bir tarayıcı penceresinde oluşturulan bir web sayfasından başka bir şey değildir.
Bu tür bir hilenin başarısızlığa mahkûm olduğunu düşünebilirsiniz, çünkü X sitesindeki, Y sitesinden geliyormuş gibi görünen herhangi bir içerik, X sitesindeki bir URL'den geliyormuş gibi tarayıcının kendisinde görünecektir.
Adres çubuğuna bir bakış, size yalan söylendiğini ve baktığınız her neyse muhtemelen bir kimlik avı sitesi olduğunu açıkça gösterecektir.
Düşman örneği, işte bir ekran görüntüsü example.com Mac'te Firefox'ta alınan web sitesi:
Saldırganlar sizi sahte bir siteye çektilerse, içeriği yakından kopyalarlarsa görsellere kanabilirsiniz, ancak adres çubuğu aradığınız sitede olmadığınızı gösterir.
Tarayıcı-in-the-Tarayıcı dolandırıcılığında, bu nedenle, saldırganın amacı normal bir web sitesi oluşturmaktır. Kanal bu web gibi görünüyor site ve içerik Beklediğiniz, pencere süslemeleri ve adres çubuğu ile mümkün olduğunca gerçekçi bir şekilde simüle edilmiş.
Bir şekilde, bir BitB saldırısı bilimden çok sanatla ilgilidir ve ağ hacklemesinden çok web tasarımı ve beklentileri yönetmekle ilgilidir.
Örneğin, şuna benzeyen iki ekran kazınmış görüntü dosyası oluşturursak…
…sonra aşağıda gördüğünüz kadar basit HTML…
<html>
<body>
<div>
<div><img src='./fake-top.png'></div>
<p>
<div><img src='./fake-bot.png'></div>
</div>
</body>
</html>
…mevcut bir tarayıcı penceresinin içinde bir tarayıcı penceresine benzeyen bir şey yaratacak, bunun gibi:
tarayıcı penceresi GİBİ GÖRÜNEN bir web sayfası.
Bu çok basit örnekte, sol üstteki üç macOS düğmesi (kapat, simge durumuna küçült, büyüt) hiçbir şey yapmaz, çünkü bunlar işletim sistemi düğmeleri değildir, yalnızca düğmelerin resimlerive Firefox penceresine benzeyen adres çubuğu tıklanamaz veya düzenlenemez, çünkü o da öyledir. sadece bir ekran görüntüsü.
Ama şimdi yukarıda gösterdiğimiz HTML'ye bir IFRAME eklersek, bununla hiçbir ilgisi olmayan bir siteden sahte içerik emmek için example.com, bunun gibi…
<html>
<body>
<div>
<div><img src='./fake-top.png' /></div>
<div><iframe src='https:/dodgy.test/phish.html' frameBorder=0 width=650 height=220></iframe></div>
<div><img src='./fake-bot.png' /></div>
</div>
</body>
</html>
…ortaya çıkan görsel içeriğin tam olarak bağımsız bir tarayıcı penceresi gibi, aslında bir başka bir tarayıcı penceresinin içindeki web sayfası.
Aşağıda gördüğünüz metin içeriği ve tıklanabilir bağlantı şu adresten indirilmiştir: dodgy.test Bu HTML kodunu içeren yukarıdaki HTML dosyasındaki HTTPS bağlantısı:
<html>
<body style='font-family:sans-serif'>
<div style='width:530px;margin:2em;padding:0em 1em 1em 1em;'>
<h1>Example Domain</h1>
<p>This window is a simulacrum of the real website,
but it did not come from the URL shown above.
It looks as though it might have, though, doesn't it?
<p><a href='https://dodgy.test/phish.click'>Bogus information...</a>
</div>
</body>
</html>
HTML metnini tamamlayan ve izleyen grafiksel içerik, HTML'nin gerçekten example.com, üstteki adres çubuğunun ekran görüntüsü sayesinde:
Orta. IFRAME indirme yoluyla fakery.
Alt. Görüntü sahte pencereyi yuvarlar.
Sahte pencereyi Linux gibi farklı bir işletim sisteminde görüntülerseniz, hile açıktır, çünkü içinde Mac benzeri bir "pencere" olan Linux benzeri bir Firefox penceresi alırsınız.
Sahte "pencere giydirme" bileşenleri, gerçekte oldukları görüntüler olarak gerçekten göze çarpıyor:
gerçek pencere kontrolleri ve en üstteki adres çubuğu ile.
Bunun için düşer misin?
Daha önce uygulamaların ekran görüntülerini aldıysanız ve ardından ekran görüntülerini daha sonra fotoğraf görüntüleyicinizde açtıysanız, bahse gireriz bir noktada uygulamanın resmini, uygulamanın çalışan bir kopyasıymış gibi ele almak için kendinizi kandırmışsınızdır. uygulamanın kendisi.
Hayatınızda en az bir uygulama içi uygulama resmine tıkladığınıza veya dokunduğunuza ve uygulamanın neden çalışmadığını merak ettiğinize bahse gireriz. (Tamam, belki siz yapmadınız, ama biz kesinlikle kafa karışıklığına yol açtık.)
Elbette, bir fotoğraf tarayıcısında bir uygulama ekran görüntüsüne tıklarsanız, çok az risk altında olursunuz, çünkü tıklamalar veya dokunmalar beklediğiniz şeyi yapmaz - aslında, sonunda görüntü üzerinde satırları düzenlemeye veya karalamaya başlayabilirsiniz. yerine.
Ama bir söz konusu olduğunda tarayıcı-in-the-tarayıcı Bunun yerine "sanat eseri saldırısı", simüle edilmiş bir pencerede yanlış yönlendirilmiş tıklamalar veya dokunmalar tehlikeli olabilir, çünkü hala etkin bir tarayıcı penceresindesiniz, JavaScript'in oynandığı ve bağlantıların hala çalıştığı yerdesiniz…
… sadece düşündüğünüz tarayıcı penceresinde değilsiniz ve düşündüğünüz web sitesinde de değilsiniz.
Daha da kötüsü, etkin tarayıcı penceresinde (ziyaret ettiğiniz orijinal taklitçi siteden gelen) çalışan herhangi bir JavaScript, gerçek bir tarayıcı açılır penceresinin beklenen davranışlarından bazılarını, örneğin sürükleme, yeniden boyutlandırma ve yeniden boyutlandırma gibi gerçekçilik eklemek için simüle edebilir. daha fazla.
Başta söylediğimiz gibi, gerçek bir açılır pencere bekliyorsanız ve gibi görünüyor gerçekçi tarayıcı düğmeleri ve beklediğinizle eşleşen bir adres çubuğu ile tamamlanmış bir açılır pencere ve biraz aceleniz var…
…sahte pencereyi gerçek pencere olarak nasıl yanlış tanıyabileceğinizi tamamen anlayabiliriz.
Steam Oyunları hedeflendi
Grup-IB'de araştırma Yukarıda bahsettiğimiz gibi, araştırmacıların karşılaştığı gerçek dünya BinB saldırısı, Steam Oyunlarını bir cazibe olarak kullandı.
Daha önce hiç duymamış olsanız da, meşru görünen bir site size yaklaşan bir oyun turnuvasında yer kazanma şansı sunacaktır, örneğin…
…ve site, Steam giriş sayfası içeren ayrı bir tarayıcı penceresi açtığını söylediğinde, bunun yerine gerçekten tarayıcıda sahte bir tarayıcı penceresi sundu.
Araştırmacılar, saldırganların yalnızca kullanıcı adları ve şifreler için BitB hilesi kullanmadığını, aynı zamanda iki faktörlü kimlik doğrulama kodu isteyen Steam Guard açılır pencerelerini de simüle etmeye çalıştıklarını kaydetti.
Neyse ki, Group-IB tarafından sunulan ekran görüntüleri, bu olayda karşılaştıkları suçluların, dolandırıcılıklarının sanat ve tasarım yönleri konusunda çok dikkatli olmadıklarını gösterdi, bu nedenle çoğu kullanıcı muhtemelen sahtekarlığı fark etti.
Ancak, acelesi olan bilgili bir kullanıcı veya bir arkadaşının evinde olduğu gibi aşina olmadığı bir tarayıcı veya işletim sistemi kullanan biri bile yanlışlıkların farkına varmayabilir.
Ayrıca, tüm e-posta dolandırıcılarının mesajlarında yazım hatası yapmaması gibi, daha titiz suçlular neredeyse kesinlikle daha gerçekçi sahte içerik üretecek ve böylece potansiyel olarak daha fazla insanın erişim bilgilerini ele geçirmesine yol açacaktır.
Ne yapalım?
İşte üç ipucu:
- Tarayıcı-in-the-Tarayıcı pencereleri gerçek tarayıcı pencereleri değildir. Tıpkı gerçek anlaşmaya benzeyen düğmeler ve simgelerle işletim sistemi düzeyinde pencereler gibi görünseler de, işletim sistemi pencereleri gibi davranmazlar. Web sayfaları gibi davranırlar çünkü öyledirler. Eğer şüpheleniyorsan, şüpheli pencereyi, onu içeren ana tarayıcı penceresinin dışına sürüklemeyi deneyin. Gerçek bir tarayıcı penceresi bağımsız davranacaktır, böylece onu orijinal tarayıcı penceresinin dışına ve ötesine taşıyabilirsiniz. Saldırgan mümkün olduğunca çok gerçek görünümlü davranışı simüle etmeye çalışmak için JavaScript kullanmış olsa bile, sahte bir tarayıcı penceresi, gösterildiği gerçek pencerenin içinde "hapsedilir". Bu, kendi başına gerçek bir pencere değil, bir web sayfasının parçası olduğunu çabucak ortaya çıkaracaktır.
- Şüpheli pencereleri dikkatlice inceleyin. Bir web sayfasının içindeki bir işletim sistemi penceresinin görünümünü ve verdiği hissi gerçekçi bir şekilde taklit etmek, kötü yapmak kolaydır, ancak iyi yapmak zordur. Sahtekarlık ve tutarsızlık belirtileri aramak için fazladan birkaç saniye ayırın.
- Şüpheniz varsa, vermeyin. Hiç duymadığınız ve güvenmek için hiçbir nedeninizin olmadığı, aniden üçüncü taraf bir site aracılığıyla giriş yapmanızı isteyen sitelerden şüphelenin.
Asla acele etmeyin, çünkü zaman ayırmak, ne gördüğünüzü görmenizi çok daha az olası hale getirecektir. düşünmek gerçekte ne görmek yerine orada mı is orada.
Üç kelimeyle: Durmak. Düşünmek. Bağlamak.
Magritte'in “La Trahison des Images” fotoğrafının görüntüsünü içeren uygulama penceresinin fotoğrafının öne çıkan görüntüsü Vikipedi.
- BitB
- blockchain
- zeka
- cryptocurrency cüzdanlar
- kripto değişimi
- siber güvenlik
- siber suçluların
- Siber güvenlik
- Veri Kaybı
- iç güvenlik bakanlığı
- dijital cüzdanlar
- güvenlik duvarı
- Kaspersky
- kötü amaçlı yazılım
- Mcafee
- MitB
- MITM
- Çıplak Güvenlik
- NexBLOC
- Kimlik avı
- Platon
- plato yapay zekası
- Plato Veri Zekası
- Plato Oyunu
- PlatoVeri
- plato oyunu
- Aldatmaca
- VPN
- web sitesi güvenliği
- zefirnet
