Njia Muhimu za Kuchukua
- Mtafiti wa usalama amebuni njia ya kuunda madirisha ibukizi yenye kushawishi lakini ya uwongo ya kuingia katika akaunti.
- Viibukizi bandia hutumia URL halali ili kuonekana halisi zaidi.
- Ujanja unaonyesha kuwa watu wanaotumia manenosiri pekee wataibiwa vitambulisho vyao mapema au baadaye, waonya wataalam.
Kuabiri kwenye wavuti kunazidi kuwa ngumu kila siku.
Tovuti nyingi siku hizi hutoa chaguo nyingi za kufungua akaunti. Unaweza kujiandikisha na tovuti, au kutumia utaratibu wa kuingia mara moja (SSO) ili kuingia kwenye tovuti kwa kutumia akaunti zako zilizopo na kampuni zinazotambulika kama Google, Facebook, au Apple. Mtafiti wa usalama wa mtandao ametumia vyema hili na kubuni mbinu mpya ya kuiba vitambulisho vyako vya kuingia kwa kuunda dirisha ghushi la kuingia la SSO.
"Umaarufu unaokua wa SSO unatoa manufaa mengi kwa [watu]," Scott Higgins, Mkurugenzi wa Uhandisi katika Dispersive Holdings, Inc aliiambia Lifewire kupitia barua pepe. "Hata hivyo, wadukuzi wajanja sasa wanachukua fursa ya njia hii kwa njia ya werevu."
Ingia Bandia
Kwa kawaida, wavamizi wametumia mbinu kama vile mashambulizi ya homografu ambayo yanachukua nafasi ya baadhi ya herufi katika URL asili kwa vibambo vinavyofanana ili kuunda URL mbaya zisizoweza kuonekana na kurasa bandia za kuingia.
Hata hivyo, mkakati huu mara nyingi huharibika ikiwa watu watachunguza URL kwa makini. Sekta ya usalama wa mtandao kwa muda mrefu imekuwa ikiwashauri watu kuangalia upau wa URL ili kuhakikisha kuwa imeorodhesha anwani sahihi, na ina kufuli ya kijani karibu nayo, ambayo inaashiria kwamba ukurasa wa tovuti uko salama.
"Haya yote hatimaye yalinifanya nifikirie, je, inawezekana kufanya ushauri wa 'Angalia URL' usiwe wa kutegemewa? Baada ya wiki moja ya kutafakari niliamua kuwa jibu ni ndiyo," aliandika mtafiti huyo ambaye jina lake halikujulikana. jina bandia, mr.d0x.
Shambulio lililoundwa mr.d0x, lililopewa jina la kivinjari-katika-kivinjari (BitB), hutumia miundo mitatu muhimu ya HTML ya wavuti, laha za mtindo wa kuporomoka (CSS), na JavaScript-kutengeneza bandia. Dirisha ibukizi la SSO ambalo kimsingi haliwezi kutofautishwa na hali halisi.
"Pau ya uwongo ya URL inaweza kuwa na chochote inachotaka, hata mahali panapoonekana kuwa halali. Zaidi ya hayo, marekebisho ya JavaScript yanaifanya ili kuelea juu ya kiungo, au kitufe cha kuingia kutaibua lengwa la URL linaloonekana kuwa halali pia," aliongeza. Higgins baada ya kumchunguza Bw. utaratibu wa d0x.
Ili kuonyesha BitB, mr.d0x aliunda toleo ghushi la jukwaa la usanifu wa picha mtandaoni, Canva. Mtu anapobofya ili kuingia kwenye tovuti ghushi kwa kutumia chaguo la SSO, tovuti itafungua dirisha la kuingia lililoundwa kwa usanifu la BitB na anwani halali ya mtoa huduma wa SSO aliyepotoshwa, kama vile Google, ili kumhadaa mgeni aingize vitambulisho vyake vya kuingia, ambavyo ni. kisha kutumwa kwa washambuliaji.
Mbinu hii imewavutia watengenezaji kadhaa wa wavuti. "Ooh hiyo ni mbaya: Browser In The Browser (BITB) Attack, mbinu mpya ya kuhadaa ili kupata maelezo ya kibinafsi ambayo inaruhusu kuiba vitambulisho ambavyo hata mtaalamu wa wavuti hawezi kugundua," François Zaninotto, Mkurugenzi Mtendaji wa kampuni ya ukuzaji wa wavuti na simu ya Marmelab, aliandika kwenye Twitter.
Angalia Unakoenda
Ingawa BitB inashawishi zaidi kuliko madirisha bandia ya kuingia katika kinu, Higgins alishiriki vidokezo vichache ambavyo watu wanaweza kutumia ili kujilinda.
Kwa wanaoanza, licha ya dirisha ibukizi la BitB SSO kuonekana kama dirisha ibukizi halali, sivyo. Kwa hivyo, ikiwa utanyakua upau wa anwani wa dirisha ibukizi hili na kujaribu kuikokota, haitasogea zaidi ya ukingo wa dirisha kuu la tovuti, tofauti na dirisha ibukizi halisi ambalo ni huru kabisa na linaweza kuhamishiwa kwa yoyote. sehemu ya eneo-kazi.
Higgins alishiriki kwamba kujaribu uhalali wa dirisha la SSO kwa kutumia mbinu hii hakutafanya kazi kwenye simu ya mkononi."Hapa ndipo [uthibitishaji wa vipengele vingi] au utumiaji wa chaguzi za uthibitishaji usio na nenosiri unaweza kweli kusaidia. Hata kama ungekuwa mawindo ya shambulio la BitB, [walaghai] hawangeweza [kutumia stakabadhi zako zilizoibwa] bila sehemu zingine za utaratibu wa kuingia kwenye MFA," alipendekeza Higgins.
Mtandao sio nyumbani kwetu. Ni nafasi ya umma. Ni lazima tuangalie kile tunachotembelea.
Pia, kwa kuwa ni dirisha ghushi la kuingia, kidhibiti cha nenosiri (ikiwa unatumia) hakitajaza kitambulisho kiotomatiki, tena hukupa pumziko ili kutambua jambo lisilofaa.
Ni muhimu pia kukumbuka kuwa ingawa dirisha ibukizi la BitB SSO ni vigumu kutambua, bado ni lazima izinduliwe kutoka kwa tovuti hasidi. Ili kuona ibukizi kama hii, tayari ungelazimika kuwa kwenye tovuti ghushi.
Hii ndiyo sababu, mduara kamili unakuja, Adrien Gendre, Afisa Mkuu wa Tech na Bidhaa katika Vade Secure, anapendekeza watu wanapaswa kuangalia URL kila mara wanapobofya kiungo.
"Vile vile tunavyokagua nambari kwenye mlango ili kuhakikisha kuwa tunaishia katika chumba cha hoteli kinachofaa, watu wanapaswa kutazama kwa haraka URL kila wakati wanapovinjari tovuti. Mtandao si nyumbani kwetu. Ni nafasi ya umma. Ni lazima tuangalie tunachotembelea," alisisitiza Gendre.
