威胁情报公司 Group-IB 的研究人员刚刚写了一篇有趣的文章 真实故事 关于一个令人讨厌的简单但令人惊讶的有效网络钓鱼技巧,称为 位B, 短缺 浏览器中的浏览器.
您之前可能听说过几种类型的 X-in-the-Y 攻击,特别是 MITM 和 线粒体, 短缺 中间操纵器 和 浏览器中的操纵器.
在中间人攻击中,想要欺骗您的攻击者将自己定位在网络“中间”的某个位置,位于您的计算机和您尝试访问的服务器之间。
(他们可能实际上并不在中间,无论是在地理上还是在跳跃方面,但 MitM 攻击者在某个地方 沿 路线,两端都不对。)
这个想法是,他们不必闯入您的计算机或另一端的服务器,而是诱使您连接到它们(或故意操纵您的网络路径,一旦您的数据包退出,您就无法轻松控制你自己的路由器),然后他们假装是另一端——一个恶意代理,如果你愿意的话。
他们将您的数据包传递到官方目的地,窥探它们,也许在途中摆弄它们,然后收到官方回复,他们可以窥探并再次调整,然后将它们传回给您,就好像您一样d 正如您预期的那样端到端连接。
如果您没有使用 HTTPS 等端到端加密来保护流量的机密性(禁止窥探!)和完整性(禁止篡改!),您不太可能注意到,甚至可能无法注意到检测到,其他人在传输过程中一直在打开您的数字信件,然后再将它们密封起来。
进攻一端
A 线粒体 攻击旨在以类似的方式工作,但要回避由 HTTPS 引起的问题,这使得中间人攻击更加困难。
MitM 攻击者无法轻易干扰使用 HTTPS 加密的流量:他们无法窥探您的数据,因为他们没有每一端用来保护数据的加密密钥; 他们无法更改加密数据,因为每一端的加密验证都会引发警报; 而且他们不能假装是您要连接的服务器,因为他们没有服务器用来证明其身份的密码秘密。
因此,MitB 攻击通常依赖于首先将恶意软件潜入您的计算机。
这通常比在某个时候简单地进入网络更困难,但如果他们能够管理它,它会给攻击者带来巨大的优势。
这是因为,如果他们可以将自己插入到您的浏览器中,他们就可以看到并修改您的网络流量 在您的浏览器加密之前 用于发送,取消任何出站 HTTPS 保护,以及 在您的浏览器解密后 在返回的路上,从而使服务器为保护其回复而应用的加密无效。
BitB 怎么样?
但是一个 位B 攻击?
浏览器中的浏览器 非常拗口,所涉及的诡计并没有给网络犯罪分子带来与 MitM 或 MitB hack 一样多的权力,但这个概念非常简单,如果你太着急了,这令人惊讶很容易上当。
BitB 攻击的想法是创建一个看起来像是由浏览器本身安全生成的弹出式浏览器窗口,但实际上它只不过是在现有浏览器窗口中呈现的网页。
你可能认为这种诡计注定会失败,因为站点 X 中任何伪装成来自站点 Y 的内容都会在浏览器中显示为来自站点 X 上的 URL。
看一眼地址栏就会很明显你被骗了,而且无论你在看什么都可能是一个网络钓鱼站点。
敌人的例子,这是一个截图 example.com 网站,在 Mac 上使用 Firefox 拍摄:
如果攻击者将您引诱到虚假网站,如果他们仔细复制内容,您可能会迷恋视觉效果,但地址栏会显示您不在您正在寻找的网站上。
因此,在 Browser-in-the-Browser 骗局中,攻击者的目标是创建一个常规 Web 页 看起来像网络 网站和内容 您所期待的,包括窗户装饰和地址栏,尽可能逼真地模拟。
在某种程度上,BitB 攻击更多的是关于艺术而不是科学,它更多的是关于网页设计和管理预期而不是网络黑客攻击。
例如,如果我们创建两个看起来像这样的屏幕抓取图像文件......
...然后 HTML 就像您在下面看到的一样简单...
<html>
<body>
<div>
<div><img src='./fake-top.png'></div>
<p>
<div><img src='./fake-bot.png'></div>
</div>
</body>
</html>
…将在现有浏览器窗口中创建看起来像浏览器窗口的内容,如下所示:
一个看起来像浏览器窗口的网页。
在这个非常基本的示例中,左上角的三个 macOS 按钮(关闭、最小化、最大化)不会做任何事情,因为它们不是操作系统按钮,它们只是 按钮的图片,并且看起来像 Firefox 窗口的地址栏不能被点击或编辑,因为它也是 只是截图.
但是,如果我们现在在上面展示的 HTML 中添加一个 IFRAME,以从与网站无关的网站中吸取虚假内容 example.com, 像这样…
<html>
<body>
<div>
<div><img src='./fake-top.png' /></div>
<div><iframe src='https:/dodgy.test/phish.html' frameBorder=0 width=650 height=220></iframe></div>
<div><img src='./fake-bot.png' /></div>
</div>
</body>
</html>
…你不得不承认生成的视觉内容看起来 就像一个独立的浏览器窗口,即使它实际上是一个 另一个浏览器窗口内的网页.
您在下面看到的文本内容和可点击的链接是从 dodgy.test 上面 HTML 文件中的 HTTPS 链接,其中包含以下 HTML 代码:
<html>
<body style='font-family:sans-serif'>
<div style='width:530px;margin:2em;padding:0em 1em 1em 1em;'>
<h1>Example Domain</h1>
<p>This window is a simulacrum of the real website,
but it did not come from the URL shown above.
It looks as though it might have, though, doesn't it?
<p><a href='https://dodgy.test/phish.click'>Bogus information...</a>
</div>
</body>
</html>
图形内容置顶和拖尾 HTML 文本使其看起来好像 HTML 确实来自 example.com,感谢顶部地址栏的截图:
中间。 通过 IFRAME 下载伪造。
底部。 图像使假窗口四舍五入。
如果您在不同的操作系统(例如 Linux)上查看伪造的窗口,这种技巧是显而易见的,因为您会得到一个类似于 Linux 的 Firefox 窗口,其中包含一个类似于 Mac 的“窗口”。
假“门面”组件确实像它们真实的图像一样脱颖而出:
实际的窗口控件和地址栏位于最顶部。
你会爱上它吗?
如果您曾经截取应用程序的屏幕截图,然后稍后在您的照片查看器中打开屏幕截图,我们敢打赌,您曾经欺骗自己,将应用程序的图片视为运行副本应用程序本身。
我们敢打赌,您至少在您的生活中点击或点击了一个应用程序中的应用程序图像,并且发现自己想知道为什么该应用程序无法运行。 (好吧,也许你没有,但我们当然有,到了真正混乱的地步。)
当然,如果您在照片浏览器中点击应用程序屏幕截图,您的风险很小,因为点击或点击根本不会达到您的预期 - 实际上,您最终可能会在图像上编辑或涂鸦线条反而。
但是当涉及到一个 浏览器中的浏览器 “艺术品攻击”相反,在模拟窗口中的错误点击或轻敲可能很危险,因为您仍处于活动的浏览器窗口中,其中 JavaScript 正在运行,链接仍然有效……
…您只是不在您认为的浏览器窗口中,您也不在您认为的网站上。
更糟糕的是,在活动浏览器窗口(来自您访问的原始冒名顶替网站)中运行的任何 JavaScript 都可以模拟真实浏览器弹出窗口的一些预期行为,以增加真实感,例如拖动它、调整它的大小和更多的。
正如我们在开始时所说,如果你在等待一个真正的弹出窗口,你会看到一些 好!!! 一个弹出窗口,带有逼真的浏览器按钮和一个符合您期望的地址栏,您有点着急……
…我们可以完全理解您如何将假窗户误认为是真实的。
Steam 游戏目标
在组-IB 研究 我们在上面提到过,研究人员在现实世界中发起的 BinB 攻击使用 Steam 游戏作为诱饵。
一个看起来合法的网站,尽管您以前从未听说过,但它会为您提供在即将到来的游戏锦标赛中赢得名额的机会,例如……
…当该网站说它正在弹出一个包含 Steam 登录页面的单独浏览器窗口时,它实际上呈现了一个浏览器中的浏览器虚假窗口。
研究人员指出,攻击者不仅使用 BitB 技巧来获取用户名和密码,还试图模拟 Steam Guard 弹出窗口,要求提供两因素身份验证代码。
幸运的是,Group-IB 提供的屏幕截图显示,他们在本案中遇到的犯罪分子对他们诈骗的艺术和设计方面并不十分小心,因此大多数用户可能发现了这个伪造品。
但即使是一个消息灵通的用户,或者使用他们不熟悉的浏览器或操作系统的人,比如在朋友家,也可能不会注意到这些不准确之处。
此外,更挑剔的犯罪分子几乎肯定会提出更真实的虚假内容,就像并非所有电子邮件诈骗者都会在他们的邮件中犯拼写错误一样,从而可能导致更多人泄露他们的访问凭据。
怎么办呢?
以下是三个提示:
- 浏览器中的浏览器窗口不是真正的浏览器窗口。 尽管它们可能看起来像操作系统级别的窗口,按钮和图标看起来就像真正的交易,但它们的行为并不像操作系统窗口。 它们的行为类似于网页,因为它们就是这样。 如果你怀疑, 尝试将可疑窗口拖到包含它的主浏览器窗口之外. 真正的浏览器窗口将独立运行,因此您可以将其移到原始浏览器窗口之外和之外。 一个虚假的浏览器窗口将被“禁锢”在它所显示的真实窗口中,即使攻击者已经使用 JavaScript 尽可能多地模拟真实行为。 这将很快表明它是网页的一部分,而不是一个真正的窗口。
- 仔细检查可疑窗口。 在网页中真实地模拟操作系统窗口的外观和感觉很容易做不好,但很难做好。 花这额外的几秒钟寻找伪造和不一致的迹象。
- 如果有疑问,请不要给出。 怀疑你从未听说过的网站,你没有理由信任,突然想让你通过第三方网站登录。
永远不要着急,因为慢慢来会让你不太可能看到你所看到的 认为 是否存在而不是实际看到什么 is 有。
用三个词: 停止。 思考。 连接。
应用程序窗口照片的特色图像,其中包含马格利特的“La Trahison des Images”照片的图像,创建于 维基百科上的数据.
