Bảo mật nghiêm trọng: Các cuộc tấn công từ trình duyệt trong trình duyệt - hãy coi chừng những cửa sổ không có!

Các nhà nghiên cứu tại công ty tình báo mối đe dọa Group-IB vừa viết một bài báo hấp dẫn câu chuyện đời thực về một thủ thuật lừa đảo đơn giản nhưng hiệu quả đáng ngạc nhiên, được gọi là BitB, viết tắt của trình duyệt trong trình duyệt.

Bạn có thể đã nghe nói về một số kiểu tấn công X-in-the-Y trước đây, đáng chú ý là MítM và MitB, viết tắt của người thao túng ở giữa và thao tác trong trình duyệt.

Trong một cuộc tấn công MitM, những kẻ tấn công muốn lừa bạn đặt chúng ở vị trí nào đó "ở giữa" mạng, giữa máy tính của bạn và máy chủ mà bạn đang cố gắng truy cập.

(Họ có thể không phải ở giữa theo nghĩa đen, cả về mặt địa lý hoặc tầm nhìn xa, nhưng những kẻ tấn công MitM đang ở đâu đó dọc theo tuyến đường, không phải ở cả hai đầu.)

Ý tưởng là thay vì phải đột nhập vào máy tính của bạn hoặc vào máy chủ ở đầu kia, chúng sẽ dụ bạn kết nối với chúng (hoặc cố tình thao túng đường dẫn mạng của bạn, mà bạn không thể dễ dàng kiểm soát khi các gói của bạn thoát khỏi bộ định tuyến của riêng bạn), và sau đó họ giả vờ là đầu kia - một proxy ác ý, nếu bạn muốn.

Họ chuyển các gói tin của bạn đến điểm đến chính thức, rình mò chúng và có thể tìm kiếm chúng trên đường đi, sau đó nhận được câu trả lời chính thức, họ có thể rình mò và chỉnh sửa lần thứ hai và chuyển chúng lại cho bạn như thể bạn ' d kết nối end-to-end như bạn mong đợi.

Nếu bạn không sử dụng mã hóa end-to-end chẳng hạn như HTTPS để bảo vệ cả tính bảo mật (không theo dõi!) Và tính toàn vẹn (không giả mạo!) Của lưu lượng truy cập, bạn sẽ khó nhận thấy hoặc thậm chí có thể phát hiện ra rằng ai đó đã mở các thư kỹ thuật số của bạn trong quá trình chuyển tiếp và sau đó niêm phong chúng lại sau đó.

Tấn công ở một đầu

A MitB tấn công nhằm mục đích hoạt động theo cách tương tự, nhưng để tránh vấn đề do HTTPS gây ra, điều này làm cho một cuộc tấn công MitM khó hơn nhiều.

Những kẻ tấn công MitM không thể dễ dàng can thiệp vào lưu lượng được mã hóa bằng HTTPS: chúng không thể rình mò dữ liệu của bạn, bởi vì chúng không có các khóa mật mã được sử dụng bởi mỗi đầu để bảo vệ nó; họ không thể thay đổi dữ liệu được mã hóa, bởi vì việc xác minh mật mã ở mỗi đầu sau đó sẽ báo động; và họ không thể giả vờ là máy chủ mà bạn đang kết nối vì họ không có bí mật mật mã mà máy chủ sử dụng để chứng minh danh tính của nó.

Do đó, một cuộc tấn công MitB thường dựa vào việc lén đưa phần mềm độc hại vào máy tính của bạn trước tiên.

Điều đó nói chung là khó hơn so với việc chỉ đơn giản là xâm nhập vào mạng vào một thời điểm nào đó, nhưng nó mang lại cho những kẻ tấn công một lợi thế lớn nếu họ có thể quản lý nó.

Đó là bởi vì, nếu họ có thể tự chèn ngay bên trong trình duyệt của bạn, họ có thể xem và sửa đổi lưu lượng mạng của bạn trước khi trình duyệt của bạn mã hóa nó để gửi, loại bỏ mọi bảo vệ HTTPS gửi đi và sau khi trình duyệt của bạn giải mã nó trên đường trở lại, do đó vô hiệu hóa mã hóa được áp dụng bởi máy chủ để bảo vệ các câu trả lời của nó.

BitB là gì?

Nhưng những gì về một BitB tấn công?

Trình duyệt trong trình duyệt khá là độc miệng và thủ thuật liên quan không mang lại cho tội phạm mạng ở bất cứ đâu có sức mạnh gần như MitM hoặc MitB hack, nhưng khái niệm này rất đơn giản và nếu bạn quá vội vàng, điều đó thật đáng ngạc nhiên dễ dàng để rơi cho nó.

Ý tưởng của một cuộc tấn công BitB là tạo ra một cửa sổ trình duyệt popup trông giống như một cửa sổ trình duyệt được tạo ra một cách an toàn bởi chính trình duyệt, nhưng đó thực sự không khác gì một trang web được hiển thị trong một cửa sổ trình duyệt hiện có.

Bạn có thể nghĩ rằng loại thủ thuật này chắc chắn sẽ thất bại, đơn giản vì bất kỳ nội dung nào trong trang web X giả mạo là từ trang web Y sẽ hiển thị trong chính trình duyệt như đến từ một URL trên trang web X.

Chỉ cần liếc qua thanh địa chỉ sẽ thấy rõ rằng bạn đang bị lừa dối và bất cứ thứ gì bạn đang xem có thể là một trang web lừa đảo.

Ví dụ về Foe, đây là ảnh chụp màn hình của example.com trang web, được lấy trong Firefox trên máy Mac:

Nếu những kẻ tấn công dụ bạn đến một trang web giả mạo, bạn có thể bị mê hoặc bởi hình ảnh nếu họ sao chép nội dung một cách chặt chẽ, nhưng thanh địa chỉ sẽ cho biết rằng bạn không ở trên trang web bạn đang tìm kiếm.

Do đó, trong một trò lừa đảo Browser-in-the-Browser, mục đích của kẻ tấn công là tạo ra một trang web thông thường trang trông giống như web trang web và nội dung bạn đang mong đợi, hoàn chỉnh với các trang trí cửa sổ và thanh địa chỉ, được mô phỏng thực tế nhất có thể.

Theo một cách nào đó, một cuộc tấn công BitB là về nghệ thuật hơn là về khoa học và nó nghiêng về thiết kế web và quản lý các kỳ vọng hơn là về hack mạng.

Ví dụ: nếu chúng tôi tạo hai tệp hình ảnh được quét màn hình trông giống như thế này…

… Thì HTML đơn giản như những gì bạn thấy bên dưới…

<html>
   <body>
      <div>
         <div><img src='./fake-top.png'></div>
         <p>
         <div><img src='./fake-bot.png'></div>
      </div>
   </body>
</html>

… Sẽ tạo ra những gì trông giống như một cửa sổ trình duyệt bên trong một cửa sổ trình duyệt hiện có, như thế này:

Trong ví dụ rất cơ bản này, ba nút macOS (đóng, thu nhỏ, phóng to) ở trên cùng bên trái sẽ không làm gì cả, bởi vì chúng không phải là nút của hệ điều hành, chúng chỉ hình ảnh của các nútvà không thể nhấp vào hoặc chỉnh sửa thanh địa chỉ trong cửa sổ Firefox vì nó cũng chỉ là một ảnh chụp màn hình.

Nhưng nếu bây giờ chúng tôi thêm IFRAME vào HTML mà chúng tôi đã trình bày ở trên, để thu hút nội dung không có thật từ một trang web không liên quan đến example.com, như thế này…

<html>
   <body>
      <div>
         <div><img src='./fake-top.png' /></div>   
         <div><iframe src='https:/dodgy.test/phish.html' frameBorder=0 width=650 height=220></iframe></div>
         <div><img src='./fake-bot.png' /></div>
      </div>
   </body>
</html>

… Bạn phải thừa nhận rằng nội dung hình ảnh thu được trông giống hệt như một cửa sổ trình duyệt độc lập, mặc dù nó thực sự là một trang web bên trong một cửa sổ trình duyệt khác.

Nội dung văn bản và liên kết có thể nhấp mà bạn thấy bên dưới đã được tải xuống từ dodgy.test Liên kết HTTPS trong tệp HTML ở trên, có chứa mã HTML này:

<html>
   <body style='font-family:sans-serif'>
      <div style='width:530px;margin:2em;padding:0em 1em 1em 1em;'>
         <h1>Example Domain</h1>

         <p>This window is a simulacrum of the real website,
         but it did not come from the URL shown above.
         It looks as though it might have, though, doesn't it?

         <p><a href='https://dodgy.test/phish.click'>Bogus information...</a>
      </div>
   </body>
</html>

Nội dung đồ họa ở đầu và gắn đuôi văn bản HTML làm cho nó trông như thể HTML thực sự đến từ example.com, nhờ vào ảnh chụp màn hình của thanh địa chỉ ở trên cùng:

Sự giả tạo là hiển nhiên nếu bạn xem cửa sổ giả trên một hệ điều hành khác, chẳng hạn như Linux, bởi vì bạn nhận được một cửa sổ Firefox giống Linux với một “cửa sổ” giống Mac bên trong nó.

Các thành phần "cửa sổ thay đồ" giả thực sự nổi bật như hình ảnh của chúng thực sự:

Bạn có thích nó không?

Nếu bạn đã từng chụp ảnh màn hình của các ứng dụng và sau đó mở ảnh chụp màn hình trong trình xem ảnh của mình, chúng tôi sẵn sàng cá rằng tại một thời điểm nào đó, bạn đã tự lừa mình coi ảnh của ứng dụng như thể nó là một bản sao đang chạy của ứng dụng của chính nó.

Chúng tôi sẽ đặt cược rằng bạn đã nhấp vào hoặc chạm vào một hình ảnh ứng dụng trong một ứng dụng ít nhất một hình ảnh trong cuộc sống của mình và tự hỏi tại sao ứng dụng không hoạt động. (OK, có thể bạn chưa, nhưng chúng tôi chắc chắn có, đến mức thực sự nhầm lẫn.)

Tất nhiên, nếu bạn nhấp vào ảnh chụp màn hình ứng dụng bên trong trình duyệt ảnh, bạn có rất ít rủi ro, bởi vì các lần nhấp hoặc chạm đơn giản sẽ không thực hiện những gì bạn mong đợi - thực sự, bạn có thể phải chỉnh sửa hoặc viết nguệch ngoạc trên hình ảnh. thay vì.

Nhưng khi nói đến một trình duyệt trong trình duyệt Thay vào đó, "cuộc tấn công tác phẩm nghệ thuật", các nhấp chuột hoặc nhấn sai hướng trong một cửa sổ mô phỏng có thể nguy hiểm, vì bạn vẫn đang ở trong cửa sổ trình duyệt đang hoạt động, nơi JavaScript đang phát và nơi các liên kết vẫn hoạt động…

… Bạn chỉ không ở trong cửa sổ trình duyệt mà bạn nghĩ, và bạn cũng không ở trên trang web mà bạn nghĩ.

Tệ hơn nữa, bất kỳ JavaScript nào đang chạy trong cửa sổ trình duyệt đang hoạt động (đến từ trang web mạo danh ban đầu mà bạn đã truy cập) có thể mô phỏng một số hành vi mong đợi của cửa sổ bật lên trình duyệt chính hãng để thêm tính hiện thực, chẳng hạn như kéo nó, thay đổi kích thước và hơn.

Như chúng tôi đã nói ở phần đầu, nếu bạn đang đợi một cửa sổ bật lên thực sự và bạn thấy thứ gì đó giống như một cửa sổ bật lên, hoàn chỉnh với các nút trình duyệt thực tế cộng với thanh địa chỉ phù hợp với những gì bạn đang mong đợi và bạn hơi vội…

… Chúng tôi hoàn toàn có thể hiểu cách bạn có thể nhận ra nhầm cửa sổ giả là cửa sổ thật.

Trò chơi Steam được nhắm mục tiêu

Trong Nhóm-IB nghiên cứu chúng tôi đã đề cập ở trên, cuộc tấn công BinB trong thế giới thực mà các nhà nghiên cứu đã sử dụng Steam Games làm mồi nhử.

Một trang web có vẻ ngoài hợp pháp, mặc dù bạn chưa từng nghe đến trước đây, nhưng sẽ mang đến cho bạn cơ hội giành được vị trí tại một giải đấu trò chơi sắp tới, chẳng hạn như…

… Và khi trang web cho biết nó đang bật ra một cửa sổ trình duyệt riêng có chứa trang đăng nhập Steam, thay vào đó, nó thực sự hiển thị một cửa sổ giả mạo trình duyệt trong trình duyệt.

Các nhà nghiên cứu lưu ý rằng những kẻ tấn công không chỉ sử dụng thủ thuật BitB để lấy tên người dùng và mật khẩu mà còn cố gắng mô phỏng cửa sổ bật lên Steam Guard yêu cầu mã xác thực hai yếu tố.

May mắn thay, các ảnh chụp màn hình do Group-IB trình bày cho thấy những tên tội phạm mà chúng đã gặp phải trong trường hợp này đã không cẩn thận đến mức các khía cạnh nghệ thuật và thiết kế của món đồ cháy của chúng, vì vậy hầu hết người dùng có thể đã phát hiện ra tiệm bánh.

Nhưng ngay cả một người dùng thông thạo trong lúc vội vàng, hoặc một người nào đó đang sử dụng trình duyệt hoặc hệ điều hành mà họ không quen thuộc, chẳng hạn như ở nhà một người bạn, cũng có thể không nhận ra những điểm không chính xác.

Ngoài ra, những tên tội phạm khó tính hơn gần như chắc chắn sẽ đưa ra nội dung giả thực tế hơn, giống như cách mà không phải tất cả những kẻ lừa đảo email đều mắc lỗi chính tả trong thư của họ, do đó có khả năng khiến nhiều người cung cấp thông tin xác thực truy cập của họ hơn.

Phải làm gì?

Dưới đây là ba mẹo:

• Cửa sổ trình duyệt trong trình duyệt không phải là cửa sổ trình duyệt thực. Mặc dù chúng có vẻ giống như các cửa sổ cấp hệ điều hành, với các nút và biểu tượng trông giống như giao dịch thực, chúng không hoạt động giống như các cửa sổ hệ điều hành. Chúng hoạt động giống như các trang web, bởi vì chúng là như vậy. Nếu bạn nghi ngờ, thử kéo cửa sổ nghi ngờ ra bên ngoài cửa sổ trình duyệt chính có chứa nó. Cửa sổ trình duyệt thực sẽ hoạt động độc lập, vì vậy bạn có thể di chuyển nó ra bên ngoài và ra ngoài cửa sổ trình duyệt ban đầu. Một cửa sổ trình duyệt giả sẽ bị "giam cầm" bên trong cửa sổ thực mà nó được hiển thị, ngay cả khi kẻ tấn công đã sử dụng JavaScript để cố gắng mô phỏng càng nhiều hành vi giống thật càng tốt. Điều này sẽ nhanh chóng cho thấy rằng đó là một phần của trang web, không phải là một cửa sổ thực sự theo đúng nghĩa của nó.
• Kiểm tra các cửa sổ nghi ngờ một cách cẩn thận. Mô phỏng thực tế giao diện của cửa sổ hệ điều hành bên trong một trang web thì dễ nhưng làm tốt thì khó. Hãy dành thêm vài giây đó để tìm kiếm những dấu hiệu cho thấy sự khó hiểu và không nhất quán.
• Nếu nghi ngờ, đừng đưa ra. Hãy nghi ngờ về các trang web bạn chưa từng nghe nói đến và bạn không có lý do gì để tin tưởng bỗng nhiên muốn bạn đăng nhập thông qua trang web của bên thứ ba.

Đừng bao giờ vội vàng, bởi vì dành thời gian của bạn sẽ làm cho bạn ít có khả năng nhìn thấy những gì bạn nghĩ ở đó thay vì những gì nhìn thấy những gì thực sự is có.

Trong ba từ: Dừng lại. Nghĩ. Liên kết.

---

Hình ảnh nổi bật của hình ảnh cửa sổ ứng dụng chứa hình ảnh của bức ảnh “La Trahison des Images” của Magritte được tạo qua Wikipedia.

---