Ну как-то так могут петь крутые хацкеры сейчас. И есть повод. На днях эксперт по кибербезопасности mr.dox разместил на профильном портале GitHub интересный такой способ кражи логинов и паролей. СМИ, как обычно, преувеличили, мол спасения нет.
Так ли это? Будем разбираться!
С вами канал “Цифровое просвещение”. Здесь трём за всё, что связано с IT-сферой. И, да, у нас есть печеньки. Так что велком на темную сторону!
Браузер в браузере
Нет, это не камасутра для программистов. Всего лишь обозначение типа хакерской атаки. Если правильно, то будет так «Браузер-в-браузере». В чем суть?
В простоте, братья апачи. Берем и делаем на коленке (на самом деле, нет) окна-двойники для перехвата реквизитов для доступа. Ход незамысловатый, изящный и при должном уровне визуальной и ПО подготовки - идеальный. Теперь хацкерам будет проще добывать информацию, а пользователем сложнее отбиваться.
Итак, эксперт в области кибербезопасности под ником mr.dox ознакомил широкую общественность с потенциально перспективной хакерской технологией. Путем создания фальшивого окна браузера Chrome. Назначение фальшивого окна-перехватчика направлять конфиденциальные данные доступа в шаловливые ручки преступников. Фишинг, как он есть.
И это имеет место быть. Потому что многие сайты предлагают вам выбор:
- прямая рега
- либо залогиниться с помощью аккаунтов в соцсетях или Google, Microsoft (плак-плак), Apple (гудбай, май лав, гудбай) и даже Steam (неееттт, за что?).
Атака
Что видит жертва? Да ничего подозрительного. Окно с формой ввода реквизитов. Стандартное. Вы такое сотни раз заполняли на автомате. Но только в случае реального сайта - это способ удостовериться в подлинности логина. А при работе хакера - всего лишь легкий способ добыть ваши данные.
В истории было много случаев, когда преступный цифровой элемент уже юзал поддельные окна логина (Single Sign-On) для этого использовали HTML, CSS, JavaScript. Но уровень таких поделок был низким. И более или менее опытный спец по кибербезопасности сразу же мог отличить самозванца.
Сейчас же картина изменилась. Точнее визуальная часть фишингового окна изменилась. Ее трудно отличить от оригинала. Злоумышленник всего редактирует в готовых шаблонах URL, название кона (поле - title) и создает iframe для вывода окна. HTML-код для формы логина встраивается сразу в шаблон. При этом возня с правильным расположением полей при CSS и HTML не занимает много времени.
Другой спец по безопасности, Кьюба Грецки (Kuba Gretzky) - создатель фишингового набора Evilginx уже покрутил новинку от mr.dox. Ему даже удалось совместить оба инструмента. И при этом получилась комбинация по считыванию ключей двухфакторной авторизации. Вот так!
«Защититься от такой атаки будет предельно сложно. Сам разработчик указывает, что она ориентирована на пентестеров, но совершенно очевидно, что в ближайшее время её уже задействуют в реальных атаках.
Единственной мерой предосторожности будет - знать о возможности таких атак и трижды проверять, куда вы вводите свои реквизиты доступа. Стоит, правда, отметить, что методика не будет работать при использовании ПО для автозаполнения паролей, в том числе встроенного в браузер: оно сразу определит, что окно поддельное».
Анастасия Мельникова, директор по информационной безопасности компании SEQ.
Идея не нова, в 2020 году подобные “ложные окна” уже тестили на геймерах, у которых хакеры крали реквизиты доступа к играм.
Всем высоких скоростей и удачи!
Кстати, по поводу железа, ПО и прочих услуг. Если загляните на официальный сайт нашей компании, то найдете много, чего интересного.
Друзья, в связи с нововведениями Дзена выживут лишь те каналы, где есть подписки. Если наш канал Вам интересен, мы попросим вас подписаться и порекомендовать его другим подписчикам! Спасибо за понимание!