Da asporto chiave
- Un ricercatore di sicurezza ha escogitato un modo per creare pop-up di accesso single sign-on molto convincenti ma falsi.
- I falsi pop-up utilizzano URL legittimi per apparire ulteriormente autentici.
- Il trucco dimostra che le persone che usano le password da sole si vedono rubare le credenziali prima o poi, avvertono gli esperti.
La navigazione sul web diventa ogni giorno più complicata.
La maggior parte dei siti web oggigiorno offre più opzioni per creare un account. Puoi registrarti al sito Web o utilizzare il meccanismo Single Sign-On (SSO) per accedere al sito Web utilizzando i tuoi account esistenti con aziende rispettabili come Google, Facebook o Apple. Un ricercatore di sicurezza informatica ha capitalizzato questo e ha ideato un nuovo meccanismo per rubare le tue credenziali di accesso creando una finestra di accesso SSO falsa praticamente non rilevabile.
"La crescente popolarità di SSO offre molti vantaggi alle [persone]", ha detto a Lifewire via e-mail Scott Higgins, direttore dell'ingegneria presso Dispersive Holdings, Inc. "Tuttavia, hacker intelligenti stanno ora sfruttando questa strada in modo ingegnoso."
Accesso falso
Tradizionalmente, gli aggressori hanno impiegato tattiche come gli attacchi omografici che sostituiscono alcune delle lettere nell'URL originale con caratteri dall'aspetto simile per creare nuovi URL dannosi difficili da individuare e pagine di accesso false.
Tuttavia, questa strategia spesso va in pezzi se le persone esaminano attentamente l'URL. L'industria della sicurezza informatica consiglia da tempo alle persone di controllare la barra degli URL per assicurarsi che indichi l'indirizzo corretto e che abbia un lucchetto verde accanto, che segnala che la pagina Web è sicura.
"Tutto questo alla fine mi ha portato a pensare, è possibile rendere meno affidabile il consiglio 'Controlla l'URL'? Dopo una settimana di brainstorming ho deciso che la risposta è sì", ha scritto il ricercatore anonimo che utilizza lo pseudonimo, mr.d0x.
L'attacco creato da mr.d0x, denominato browser-in-the-browser (BitB), utilizza i tre elementi costitutivi essenziali del Web-HTML, CSS (Cascading Style Sheets) e JavaScript per creare un falso Finestra pop-up SSO essenzialmente indistinguibile dalla re altà.
"La barra degli URL falsa può contenere tutto ciò che vuole, anche posizioni apparentemente valide. Inoltre, le modifiche JavaScript fanno in modo che passando il mouse sul collegamento o sul pulsante di accesso venga visualizzata anche una destinazione URL apparentemente valida ", ha aggiunto Higgins dopo aver esaminato il sig. Il meccanismo di d0x.
Per dimostrare BitB, mr.d0x ha creato una versione falsa della piattaforma di progettazione grafica online, Canva. Quando qualcuno fa clic per accedere al sito falso utilizzando l'opzione SSO, il sito Web apre la finestra di accesso creata da BitB con l'indirizzo legittimo del provider SSO contraffatto, come Google, per indurre il visitatore a inserire le proprie credenziali di accesso, che sono poi inviato agli attaccanti.
La tecnica ha impressionato diversi sviluppatori web. "Ooh che brutto: Browser In The Browser (BITB) Attack, una nuova tecnica di phishing che consente di rubare credenziali che nemmeno un professionista del web può rilevare", ha scritto su Twitter François Zaninotto, CEO della società di sviluppo web e mobile Marmelab.
Guarda dove stai andando
Sebbene BitB sia più convincente delle comuni finestre di accesso false, Higgins ha condiviso alcuni suggerimenti che le persone possono utilizzare per proteggersi.
Per cominciare, nonostante la finestra pop-up di BitB SSO sembri un pop-up legittimo, in re altà non lo è. Pertanto, se prendi la barra degli indirizzi di questo pop-up e provi a trascinarlo, non si sposterà oltre il bordo della finestra principale del sito, a differenza di una vera finestra pop-up che è completamente indipendente e può essere spostata in qualsiasi parte del desktop.
Higgins ha condiviso che testare la legittimità della finestra SSO utilizzando questo metodo non funzionerebbe su un dispositivo mobile."È qui che [l'autenticazione a più fattori] o l'uso di opzioni di autenticazione senza password possono essere davvero utili. Anche se fossi caduto preda dell'attacco BitB, [i truffatori] non sarebbero necessariamente in grado di [usare le tue credenziali rubate] senza le altre parti di una routine di accesso MFA", suggerì Higgins.
Internet non è la nostra casa. È uno spazio pubblico. Dobbiamo controllare cosa stiamo visitando.
Inoltre, poiché si tratta di una finestra di accesso falsa, il gestore delle password (se ne stai utilizzando una) non compilerà automaticamente le credenziali, dandoti nuovamente una pausa per individuare qualcosa che non va.
È anche importante ricordare che mentre il pop-up BitB SSO è difficile da individuare, deve comunque essere lanciato da un sito dannoso. Per vedere un pop-up come questo, avresti dovuto essere già su un sito Web falso.
Ecco perché, chiudendo il cerchio, Adrien Gendre, Chief Tech and Product Officer di Vade Secure, suggerisce alle persone di guardare gli URL ogni volta che fanno clic su un collegamento.
"Allo stesso modo in cui controlliamo il numero sulla porta per assicurarci di finire nella giusta camera d'albergo, le persone dovrebbero sempre dare una rapida occhiata agli URL quando navigano in un sito web. Internet non è casa nostra. È uno spazio pubblico. Dobbiamo controllare cosa stiamo visitando", ha sottolineato Gendre.
