Clau per emportar
- Un investigador de seguretat ha ideat una manera de crear finestres emergents d'inici de sessió d'inici de sessió únic molt convincents però falses.
- Les finestres emergents falses utilitzen URL legítims per semblar més autèntics.
- El truc demostra que a les persones que només utilitzen contrasenyes se'ls robaran les credencials tard o d'hora, adverteixen els experts.
Navegar pel web és cada dia més complicat.
La majoria dels llocs web en aquests dies ofereixen diverses opcions per crear un compte. Podeu registrar-vos al lloc web o utilitzar el mecanisme d'inici de sessió únic (SSO) per iniciar sessió al lloc web mitjançant els vostres comptes existents amb empreses de bona reputació com Google, Facebook o Apple. Un investigador de ciberseguretat ha aprofitat això i ha ideat un mecanisme nou per robar les vostres credencials d'inici de sessió creant una finestra d'inici de sessió SSO falsa pràcticament indetectable..
"La creixent popularitat de l'SSO proporciona molts beneficis a [la gent]", va dir Scott Higgins, director d'enginyeria de Dispersive Holdings, Inc a Lifewire per correu electrònic. "No obstant això, ara els pirates informàtics intel·ligents estan aprofitant aquesta ruta d'una manera enginyosa."
Inici de sessió fals
Tradicionalment, els atacants han utilitzat tàctiques com ara atacs homògrafs que substitueixen algunes de les lletres de l'URL original per caràcters semblants per crear URL maliciosos nous i difícils de detectar i pàgines d'inici de sessió falses.
No obstant això, aquesta estratègia sovint s'esfondra si la gent examina acuradament l'URL. La indústria de la ciberseguretat fa temps que aconsella a la gent que comproveu la barra d'URL per assegurar-se que inclou l'adreça correcta i té un cadenat verd al costat, que indica que la pàgina web és segura.
"Tot això finalment em va fer pensar, és possible fer que el consell "Comprova l'URL" sigui menys fiable? Després d'una setmana de pluja d'idees vaig decidir que la resposta és sí", va escriure l'investigador anònim que utilitza el pseudònim, mr.d0x.
L'atac creat per mr.d0x, anomenat browser-in-the-browser (BitB), utilitza els tres blocs bàsics de l'HTML web, fulls d'estil en cascada (CSS) i JavaScript per crear un fals. Finestra emergent SSO que essencialment no es distingeix de la realitat.
"La barra d'URL falsa pot contenir qualsevol cosa que vulgui, fins i tot ubicacions aparentment vàlides. A més, les modificacions de JavaScript fan que si passa el cursor per l'enllaç o el botó d'inici de sessió també apareixerà una destinació d'URL aparentment vàlida", va afegir. Higgins després d'examinar al Sr. mecanisme de d0x.
Per demostrar BitB, mr.d0x va crear una versió falsa de la plataforma de disseny gràfic en línia, Canva. Quan algú fa clic per iniciar sessió al lloc fals mitjançant l'opció SSO, el lloc web mostra la finestra d'inici de sessió elaborada per BitB amb l'adreça legítima del proveïdor SSO fals, com ara Google, per enganyar el visitant perquè introdueixi les seves credencials d'inici de sessió, que són després enviat als atacants.
La tècnica ha impressionat diversos desenvolupadors web. "Oh, això és desagradable: Browser In The Browser (BITB) Attack, una nova tècnica de pesca que permet robar credencials que fins i tot un professional web no pot detectar", va escriure François Zaninotto, director general de l'empresa de desenvolupament web i mòbil Marmelab, a Twitter.
Mira on vas
Tot i que BitB és més convincent que les finestres d'inici de sessió falses habituals, Higgins va compartir alguns consells que la gent pot utilitzar per protegir-se.
Per començar, tot i que la finestra emergent de BitB SSO sembla una finestra emergent legítima, realment no ho és. Per tant, si agafeu la barra d'adreces d'aquesta finestra emergent i intenteu arrossegar-la, no es mourà més enllà de la vora de la finestra del lloc web principal, a diferència d'una finestra emergent real que és completament independent i es pot moure a qualsevol part de l'escriptori.
Higgins va compartir que provar la legitimitat de la finestra SSO amb aquest mètode no funcionaria en un dispositiu mòbil."Aquí és on [l'autenticació multifactor] o l'ús d'opcions d'autenticació sense contrasenya poden ser realment útils. Fins i tot si haguéssiu estat víctima de l'atac de BitB, [els estafadors] no necessàriament podrien [utilitzar les vostres credencials robades] sense les altres parts d'una rutina d'inici de sessió MFA", va suggerir Higgins.
Internet no és casa nostra. És un espai públic. Hem de comprovar què estem visitant.
A més, com que es tracta d'una finestra d'inici de sessió falsa, el gestor de contrasenyes (si en feu servir una) no omplirà automàticament les credencials, de manera que us tornarà a fer una pausa per detectar alguna cosa malament.
També és important recordar que, tot i que la finestra emergent SSO de BitB és difícil de detectar, encara s'ha de llançar des d'un lloc maliciós. Per veure una finestra emergent com aquesta, ja hauríeu d'estar en un lloc web fals.
És per això que, al tancar el cercle, Adrien Gendre, director tècnic i de producte de Vade Secure, suggereix que la gent miri els URL cada vegada que facin clic a un enllaç.
"De la mateixa manera que comprovem el número a la porta per assegurar-nos que acabem a l'habitació d'hotel adequada, la gent sempre hauria de fer una ullada ràpida als URL quan navegueu per un lloc web. Internet no és casa nostra. És un espai públic. Hem de comprovar què estem visitant", ha subratllat Gendre.
