Bài học rút ra chính
- Một nhà nghiên cứu bảo mật đã nghĩ ra cách tạo cửa sổ bật lên đăng nhập một lần rất thuyết phục nhưng giả mạo.
- Cửa sổ bật lên giả sử dụng các URL hợp pháp để tiếp tục có vẻ chính hãng.
- Thủ thuật chứng minh rằng những người sử dụng mật khẩu một mình sẽ sớm bị đánh cắp thông tin đăng nhập của họ, cảnh báo các chuyên gia.
Điều hướng web ngày càng phức tạp hơn.
Hầu hết các trang web ngày nay đều cung cấp nhiều tùy chọn để tạo tài khoản. Bạn có thể đăng ký với trang web hoặc sử dụng cơ chế đăng nhập một lần (SSO) để đăng nhập vào trang web bằng các tài khoản hiện có của bạn với các công ty có uy tín như Google, Facebook hoặc Apple. Một nhà nghiên cứu an ninh mạng đã tận dụng điều này và phát minh ra một cơ chế mới để đánh cắp thông tin đăng nhập của bạn bằng cách tạo một cửa sổ đăng nhập SSO giả gần như không thể phát hiện được.
"Sự phổ biến ngày càng tăng của SSO mang lại rất nhiều lợi ích cho [mọi người]", Scott Higgins, Giám đốc Kỹ thuật của Dispersive Holdings, Inc nói với Lifewire qua email. "Tuy nhiên, những tin tặc thông minh hiện đang tận dụng tuyến đường này một cách tài tình."
Đăng nhập giả mạo
Theo truyền thống, những kẻ tấn công đã sử dụng các chiến thuật như tấn công đồng nhất thay thế một số ký tự trong URL gốc bằng các ký tự trông giống nhau để tạo URL độc hại mới, khó phát hiện và các trang đăng nhập giả mạo.
Tuy nhiên, chiến lược này thường thất bại nếu mọi người xem xét kỹ lưỡng URL. Ngành công nghiệp an ninh mạng từ lâu đã khuyên mọi người nên kiểm tra thanh URL để đảm bảo nó liệt kê đúng địa chỉ và có một ổ khóa màu xanh lá cây bên cạnh, điều này báo hiệu rằng trang web được bảo mật.
"Tất cả những điều này cuối cùng khiến tôi suy nghĩ, liệu có thể làm cho lời khuyên 'Kiểm tra URL' kém tin cậy hơn không? Sau một tuần cân não, tôi quyết định rằng câu trả lời là có", nhà nghiên cứu ẩn danh đã viết bút danh, mr.d0x.
Cuộc tấn công mà mr.d0x tạo ra, được đặt tên là browser-in-the-browser (BitB), sử dụng ba khối xây dựng cơ bản của web-HTML, các biểu định kiểu xếp tầng (CSS) và JavaScript-để tạo ra một giả mạo Cửa sổ bật lên SSO về cơ bản không thể phân biệt được với hàng thật.
"Thanh URL giả mạo có thể chứa bất kỳ thứ gì nó muốn, thậm chí cả những vị trí có vẻ hợp lệ. Hơn nữa, các sửa đổi JavaScript làm cho việc di chuột vào liên kết hoặc nút đăng nhập cũng sẽ bật ra một đích URL có vẻ hợp lệ", thêm Higgins sau khi kiểm tra mr. cơ chế của d0x.
Để chứng minh BitB, mr.d0x đã tạo một phiên bản giả mạo của nền tảng thiết kế đồ họa trực tuyến, Canva. Khi ai đó nhấp để đăng nhập vào trang web giả mạo bằng tùy chọn SSO, trang web sẽ bật lên cửa sổ đăng nhập được tạo thủ công BitB với địa chỉ hợp pháp của nhà cung cấp SSO giả mạo, chẳng hạn như Google, để lừa khách truy cập nhập thông tin đăng nhập của họ, đó là sau đó được gửi đến những kẻ tấn công.
Kỹ thuật này đã gây ấn tượng với một số nhà phát triển web. François Zaninotto, Giám đốc điều hành của công ty phát triển web và di động Marmelab, viết trên Twitter: "Ồ, thật là khó chịu: Cuộc tấn công của trình duyệt trong trình duyệt (BITB), một kỹ thuật lừa đảo mới cho phép đánh cắp thông tin đăng nhập mà ngay cả một chuyên gia web cũng không thể phát hiện ra".
Nhìn nơi bạn đang đi
Mặc dù BitB thuyết phục hơn các cửa sổ đăng nhập giả mạo hàng loạt, nhưng Higgins đã chia sẻ một số mẹo mà mọi người có thể sử dụng để tự bảo vệ mình.
Đối với người mới bắt đầu, mặc dù cửa sổ bật lên BitB SSO trông giống như một cửa sổ bật lên hợp pháp, nhưng nó thực sự không phải vậy. Do đó, nếu bạn lấy thanh địa chỉ của cửa sổ bật lên này và cố kéo nó, nó sẽ không di chuyển ra ngoài mép cửa sổ của trang web chính, không giống như một cửa sổ bật lên thực sự hoàn toàn độc lập và có thể được di chuyển đến bất kỳ một phần của màn hình.
Higgins chia sẻ rằng việc kiểm tra tính hợp pháp của cửa sổ SSO bằng phương pháp này sẽ không hoạt động trên thiết bị di động."Đây là nơi [xác thực đa yếu tố] hoặc sử dụng các tùy chọn xác thực không cần mật khẩu có thể thực sự hữu ích. Ngay cả khi bạn đã trở thành con mồi của cuộc tấn công BitB, [những kẻ lừa đảo] sẽ không nhất thiết có thể [sử dụng thông tin đăng nhập bị đánh cắp của bạn] mà không có các phần khác của quy trình đăng nhập MFA ", Higgins đề xuất.
Internet không phải là ngôi nhà của chúng ta. Đó là một không gian công cộng. Chúng tôi phải kiểm tra những gì chúng tôi đang truy cập.
Ngoài ra, vì đây là cửa sổ đăng nhập giả mạo, trình quản lý mật khẩu (nếu bạn đang sử dụng) sẽ không tự động điền thông tin đăng nhập, một lần nữa khiến bạn tạm dừng để phát hiện điều gì đó không ổn.
Cũng cần nhớ rằng mặc dù cửa sổ bật lên BitB SSO khó phát hiện, nhưng nó vẫn phải được khởi chạy từ một trang web độc hại. Để xem một cửa sổ bật lên như thế này, bạn đã phải ở trên một trang web giả mạo.
Đây là lý do tại sao, sắp tới, Adrien Gendre, Giám đốc Công nghệ và Sản phẩm tại Vade Secure, đề xuất mọi người nên xem URL mỗi khi họ nhấp vào một liên kết.
"Giống như cách chúng tôi kiểm tra số trên cửa để đảm bảo rằng chúng tôi đến đúng phòng khách sạn, mọi người phải luôn xem nhanh các URL khi duyệt một trang web. Internet không phải là nhà của chúng tôi. Đó là không gian công cộng. Chúng tôi phải kiểm tra những gì chúng tôi đang đến thăm, "Gendre nhấn mạnh.
