الوجبات الجاهزة الرئيسية
- ابتكر باحث أمني طريقة لإنشاء نوافذ منبثقة لتسجيل الدخول مرة واحدة مقنعة للغاية ولكنها مزيفة.
- تستخدم النوافذ المنبثقة الزائفة عناوين URL الشرعية لتظهر بشكل أكبر على أنها أصلية.
- الحيلة توضح أن الأشخاص الذين يستخدمون كلمات المرور وحدها ستُسرق بيانات اعتمادهم عاجلاً أم آجلاً ، حذر الخبراء.
أصبح التنقل عبر الويب أكثر تعقيدًا كل يوم.
تقدم معظم مواقع الويب هذه الأيام خيارات متعددة لإنشاء حساب.يمكنك إما التسجيل في موقع الويب ، أو استخدام آلية تسجيل الدخول الأحادي (SSO) لتسجيل الدخول إلى موقع الويب باستخدام حساباتك الحالية مع الشركات ذات السمعة الطيبة مثل Google أو Facebook أو Apple. استفاد أحد باحثي الأمن السيبراني من هذا الأمر وابتكر آلية جديدة لسرقة بيانات اعتماد تسجيل الدخول الخاصة بك عن طريق إنشاء نافذة تسجيل دخول SSO وهمية لا يمكن اكتشافها تقريبًا.
"توفر الشعبية المتزايدة للدخول الموحّد (SSO) الكثير من الفوائد [للناس]" ، هذا ما قاله سكوت هيجينز ، مدير الهندسة في شركة Dispersive Holdings، Inc لموقع لايف واير عبر البريد الإلكتروني. "ومع ذلك ، فإن المخترقين الأذكياء يستغلون الآن هذا الطريق بطريقة بارعة."
تسجيل دخول مزيف
تقليديًا ، استخدم المهاجمون تكتيكات مثل هجمات homograph التي تحل محل بعض الأحرف في عنوان URL الأصلي بأحرف متشابهة لإنشاء عناوين URL خبيثة جديدة يصعب اكتشافها وصفحات تسجيل دخول مزيفة.
ومع ذلك ، غالبًا ما تنهار هذه الإستراتيجية إذا قام الأشخاص بفحص عنوان URL بعناية. لطالما نصحت صناعة الأمن السيبراني الأشخاص بالتحقق من شريط عنوان URL للتأكد من أنه يسرد العنوان الصحيح ، وبجانبه قفل أخضر ، مما يشير إلى أن صفحة الويب آمنة.
"كل هذا قادني في النهاية إلى التفكير ، هل من الممكن جعل نصيحة" التحقق من عنوان URL "أقل موثوقية؟ بعد أسبوع من العصف الذهني ، قررت أن الإجابة هي نعم" ، كتب الباحث المجهول الذي يستخدم الاسم المستعار السيد 0x
الهجوم الذي تم إنشاؤه بواسطة mr.d0x ، المسمى بالمتصفح في المستعرض (BitB) ، يستخدم الكتل الإنشائية الأساسية الثلاثة للويب HTML ، وأوراق الأنماط المتتالية (CSS) ، وجافا سكريبت - لصنع نموذج مزيف نافذة منبثقة SSO لا يمكن تمييزها بشكل أساسي عن الشيء الحقيقي.
"يمكن أن يحتوي شريط عنوان URL المزيف على أي شيء يريده ، حتى المواقع التي تبدو صالحة على ما يبدو. علاوة على ذلك ، فإن تعديلات JavaScript تجعله يؤدي إلى ظهور وجهة عنوان URL تبدو صالحة على ما يبدو". هيغينز بعد فحص السيد. آلية d0x.
لإثبات BitB ، أنشأ mr.d0x نسخة مزيفة من منصة تصميم الرسوم على الإنترنت ، Canva. عندما ينقر شخص ما لتسجيل الدخول إلى الموقع المزيف باستخدام خيار SSO ، ينبثق موقع الويب نافذة تسجيل الدخول المصممة بواسطة BitB مع العنوان الشرعي لموفر SSO المخادع ، مثل Google ، لخداع الزائر لإدخال بيانات اعتماد تسجيل الدخول الخاصة به ، وهي ثم أرسل إلى المهاجمين.
لقد أثارت هذه التقنية إعجاب العديد من مطوري الويب. كتب فرانسوا زانينوتو ، الرئيس التنفيذي لشركة تطوير الويب والهاتف المحمول Marmelab ، على Twitter: "هذا أمر سيء: Browser In The Browser (BITB) Attack ، وهو أسلوب تصيد جديد يسمح بسرقة بيانات الاعتماد التي لا يستطيع حتى محترف الويب اكتشافها".
انظروا أين أنت ذاهب
في حين أن BitB أكثر إقناعًا من نوافذ تسجيل الدخول المزيفة العادية ، فقد شارك Higgins بعض النصائح التي يمكن للأشخاص استخدامها لحماية أنفسهم.
بالنسبة للمبتدئين ، على الرغم من أن نافذة BitB SSO المنبثقة تبدو وكأنها نافذة منبثقة شرعية ، إلا أنها ليست كذلك. لذلك ، إذا قمت بإمساك شريط العنوان لهذه النافذة المنبثقة وحاولت سحبه ، فلن ينتقل إلى ما وراء حافة نافذة موقع الويب الرئيسي ، على عكس النافذة المنبثقة الحقيقية المستقلة تمامًا ويمكن نقلها إلى أي جزء من سطح المكتب.
شارك Higgins أن اختبار شرعية نافذة SSO باستخدام هذه الطريقة لن يعمل على جهاز محمول."هذا هو المكان الذي يمكن أن يكون فيه [المصادقة متعددة العوامل] أو استخدام خيارات المصادقة بدون كلمة مرور مفيدة حقًا. حتى إذا وقعت فريسة لهجوم BitB ، فلن يتمكن [المحتالون] بالضرورة من [استخدام بيانات الاعتماد المسروقة] بدون الأجزاء الأخرى من روتين تسجيل الدخول إلى MFA ، "اقترح Higgins.
الإنترنت ليس بيتنا. إنها مساحة عامة. يجب أن نتحقق مما نزوره
أيضًا ، نظرًا لأنها نافذة تسجيل دخول مزيفة ، فلن يقوم مدير كلمات المرور (إذا كنت تستخدم واحدًا) تلقائيًا بملء بيانات الاعتماد ، مما يمنحك مرة أخرى وقفة لاكتشاف أي شيء غير صحيح.
من المهم أيضًا أن تتذكر أنه على الرغم من صعوبة تحديد نافذة BitB SSO المنبثقة ، فلا يزال من الضروري إطلاقها من موقع ضار. لرؤية نافذة منبثقة مثل هذه ، يجب أن تكون بالفعل على موقع ويب مزيف.
لهذا السبب ، يقترح Adrien Gendre ، رئيس قسم التكنولوجيا ومسؤول المنتج في Vade Secure ، بعد استكمال الدائرة ، على الأشخاص أن ينظروا إلى عناوين URL في كل مرة ينقرون فيها على رابط.
"بنفس الطريقة التي نتحقق بها من الرقم الموجود على الباب للتأكد من وصولنا إلى غرفة الفندق المناسبة ، يجب أن يلقي الأشخاص دائمًا نظرة سريعة على عناوين URL عند تصفح أحد مواقع الويب. الإنترنت ليس منزلنا. إنه مكان عام. يجب أن نتحقق مما نزوره "، شدد جيندر.