Key takeaways
- En säkerhetsforskare har utarbetat ett sätt att skapa mycket övertygande men falska popup-fönster för enkel inloggning.
- De falska popup-fönsterna använder legitima webbadresser för att ytterligare framstå som äkta.
- Tricket visar att personer som enbart använder lösenord kommer att få sina referenser stulna förr eller senare, varnar experter.
Att navigera på webben blir svårare för varje dag.
De flesta webbplatser erbjuder nuförtiden flera alternativ för att skapa ett konto. Du kan antingen registrera dig på webbplatsen eller använda mekanismen för enkel inloggning (SSO) för att logga in på webbplatsen med dina befintliga konton hos välrenommerade företag som Google, Facebook eller Apple. En cybersäkerhetsforskare har utnyttjat detta och tagit fram en ny mekanism för att stjäla dina inloggningsuppgifter genom att skapa ett praktiskt taget oupptäckbart falskt SSO-inloggningsfönster.
"Den växande populariteten för SSO ger många fördelar för [människor]," sa Scott Higgins, Director of Engineering på Dispersive Holdings, Inc till Lifewire via e-post. "Men smarta hackare utnyttjar nu denna väg på ett genialiskt sätt."
Falsk inloggning
Traditionellt har angripare använt taktik som homografattacker som ersätter några av bokstäverna i den ursprungliga webbadressen med liknande tecken för att skapa nya, svårupptäckta skadliga webbadresser och falska inloggningssidor.
Den här strategin faller dock ofta isär om folk noggrant granskar webbadressen. Cybersäkerhetsbranschen har länge rekommenderat människor att kontrollera URL-fältet för att säkerställa att den visar rätt adress och har ett grönt hänglås bredvid, vilket signalerar att webbsidan är säker.
"Allt detta fick mig så småningom att tänka, är det möjligt att göra råden 'Kontrollera webbadressen' mindre tillförlitlig? Efter en veckas brainstorming bestämde jag mig för att svaret är ja", skrev den anonyma forskaren som använder pseudonymen, mr.d0x.
Attacken mr.d0x skapade, kallad webbläsare-i-webbläsaren (BitB), använder de tre väsentliga byggstenarna i webb-HTML, cascading style sheets (CSS) och JavaScript-för att skapa en falsk SSO-popup-fönster som i princip inte går att skilja från den äkta varan.
"Den falska URL-fältet kan innehålla vad som helst, även till synes giltiga platser. Dessutom gör JavaScript-modifieringar det så att om du håller muspekaren över länken eller inloggningsknappen kommer en till synes giltig URL-destination också att dyka upp", lade till Higgins efter att ha undersökt mr. d0x:s mekanism.
För att demonstrera BitB skapade mr.d0x en falsk version av plattformen för grafisk design online, Canva. När någon klickar för att logga in på den falska webbplatsen med SSO- alternativet, dyker webbplatsen upp det BitB-utformade inloggningsfönstret med den legitima adressen till den falska SSO-leverantören, såsom Google, för att lura besökaren att ange sina inloggningsuppgifter, som är skickades sedan till angriparna.
Tekniken har imponerat på flera webbutvecklare. "Åh, det är otäckt: Browser In The Browser (BITB) Attack, en ny nätfisketeknik som tillåter att stjäla referenser som inte ens en webbproffs kan upptäcka", skrev François Zaninotto, VD för webb- och mobilutvecklingsföretaget Marmelab, på Twitter.
Titta vart du ska
Medan BitB är mer övertygande än vanliga falska inloggningsfönster, delade Higgins några tips som folk kan använda för att skydda sig själva.
Till att börja med, trots att BitB SSO-popup-fönstret ser ut som ett legitimt popup-fönster, är det verkligen inte det. Därför, om du tar tag i adressfältet i det här popup-fönstret och försöker dra det, kommer det inte att flytta sig bortom kanten av huvudwebbplatsens fönster, till skillnad från ett riktigt popup-fönster som är helt oberoende och kan flyttas till vilken som helst del av skrivbordet.
Higgins berättade att det inte skulle fungera på en mobil enhet att testa SSO-fönstrets legitimitet med den här metoden."Det är här [multifaktorautentisering] eller användning av lösenordslösa autentiserings alternativ verkligen kan vara till hjälp. Även om du blev offer för BitB-attacken, skulle [bedragarna] inte nödvändigtvis kunna [använda dina stulna referenser] utan de andra delarna av en MFA-inloggningsrutin", föreslog Higgins.
Internet är inte vårt hem. Det är ett offentligt rum. Vi måste kolla vad vi besöker.
Också, eftersom det är ett falskt inloggningsfönster, kommer lösenordshanteraren (om du använder en) inte automatiskt att fylla i användaruppgifterna, vilket gör att du återigen pausar för att upptäcka något som är fel.
Det är också viktigt att komma ihåg att även om BitB SSO-popupen är svår att upptäcka, måste den fortfarande startas från en skadlig webbplats. För att se ett popup-fönster som detta hade du redan behövt vara på en falsk webbplats.
Det är därför som Adrien Gendre, Chief Tech and Product Officer på Vade Secure, när han är i full cirkel, föreslår att folk ska titta på webbadresser varje gång de klickar på en länk.
"På samma sätt som vi kontrollerar numret på dörren för att se till att vi hamnar i rätt hotellrum, bör folk alltid ta en snabb titt på webbadresserna när de surfar på en webbplats. Internet är inte vårt hem. Det är ett offentligt utrymme. Vi måste kolla vad vi besöker", betonade Gendre.
