Atak typu „przeglądarka w przeglądarce” : nowa technika phishingu

W nieustannym polowaniu na dane uwierzytelniające, tajne klucze i inne cenne informacje cyberprzestępcy wymyślają nowe sposoby oszukiwania użytkowników. Przeważnie są one wymierzone w użytkowników, którzy tracą czujność — i nie ma przy tym znaczenia, jak wyrafinowany jest dany schemat. Jeśli tylko zwrócisz szczególną uwagę na kilka szczegółów — przede wszystkim na adres strony internetowej, na której masz podać swoje dane uwierzytelniające — nie padniesz ofiarą phishingu.

Tak jest prawie zawsze. Ale dzisiaj opowiemy o ataku, który działa inaczej, a adres URL wygląda poprawnie i z punktu widzenia potencjalnej ofiary jest bezpieczny.

Dlaczego w adresach stron wyłudzających informacje występują błędy?

Każdy adres domeny, który widzimy na pasku adresu, jest unikatowy i zawsze przypisany do właściciela. Jeśli ktoś chce stworzyć stronę internetową, musi najpierw skontaktować się ze specjalną organizacją, która rejestruje nazwy domen. Sprawdza ona międzynarodową bazę danych i upewnia się, że adres nie jest już zajęty. Jeśli jest dostępny, zostanie przypisany do wnioskodawcy.

Oznacza to, że nie można zarejestrować fałszywej strony internetowej z tym samym adresem, co prawdziwa strona internetowa. Jednak całkiem możliwe jest utworzenie domeny, która jest bardzo podobna do domeny nabytej przez inną osobę. W tym celu należy wybrać podobną strefę domeny: na przykład Kolumbia (.co) zamiast Kanada (.ca). Tu jednak, jeśli przyjrzysz się uważnie adresowi, łatwo to zauważysz.

Dlatego zamiast rejestrować domeny, ktoś wpadł na pomysł, aby symulować okno przeglądarki z adresem zaufanej witryny.

Na czym polega atak typu „przeglądarka w przeglądarce”?

Ten rodzaj ataku, który stał się znany jako atak „przeglądarka w przeglądarce”, został opisany przez badacza z dziedziny bezpieczeństwa informacji i pentestera przedstawiającego się nickiem mr.d0x. Zauważył on, że nowoczesne sposoby tworzenia stron internetowych (narzędzia HTML, CSS i JavaScript) stały się tak zaawansowane, że mogą wyświetlać na stronie praktycznie wszystko: od pól o dowolnym kolorze lub kształcie po animacje imitujące ruchome elementy interfejsu. Oznacza to, że osoba próbująca wyłudzić informacje może ich użyć do symulacji legalnej strony z innej usługi na swojej własnej stronie.

W eksperymencie mr.d0x przyjrzał się oknom podręcznym służącym do logowania. Pojawiają się one, gdy nie chcesz tworzyć nowego konta i wybierzesz opcję np. „Zaloguj się przez Google” lub „Kontynuuj z Apple”. Jest to wygodne, ponieważ nie trzeba wymyślać i zapamiętywać nowego hasła ani czekać na linki czy kody potwierdzające. Ponadto ta metoda rejestracji jest raczej bezpieczna. Naciśnięcie przycisku „Zaloguj się za pomocą” powoduje otwarcie strony odpowiedniego serwisu, na której należy wprowadzić swoje dane logowania. Strona, do której logujesz się za pomocą tej opcji, nigdy nie otrzyma hasła, nawet tymczasowo.

Prawdziwe okno logowania do innego serwisu

Tak działa też atak typu „przeglądarka w przeglądarce”: cyberprzestępcy rejestrują stronę internetową za pomocą klasycznej techniki phishingu. W tym celu tworzą klon legalnej strony internetowej; alternatywnie mogą wybrać atrakcyjny adres i treści, które zwabią potencjalne ofiary, np. oferty zakupów, oferty pracy lub wiadomości, które użytkownik może chcieć skomentować. Przestępcy tak organizują stronę, że osoby ją odwiedzające muszą się zalogować, jeśli chcą coś kupić, skomentować lub uzyskać dostęp do innych funkcji, które ich interesują. Następnie dodają przyciski, które rzekomo umożliwiają logowanie się za pośrednictwem legalnych serwisów, do których chcą pozyskać hasła.

Jeśli ofiara kliknie taki przycisk, zobaczy znane sobie okno logowania, np. takie jak wyświetlane przez firmę Microsoft, Google czy Apple, z prawidłowym adresem, logo i polami wprowadzania. Mówiąc w skrócie, zawiera ono wszystkie składniki interfejsu, do których użytkownicy internetu są przyzwyczajeni. Okno takie może nawet wyświetlać poprawne adresy, gdy użytkownik umieści kursor myszy na przycisku „Zaloguj się” lub linku „Nie pamiętam hasła”.

W rzeczywistości nie jest to osobne okno — oszustwo jest tak przygotowane, aby pojawiało się bezpośrednio na stronie, która próbuje oszukać użytkownika. Jeśli wprowadzisz w tym oknie swoje dane uwierzytelniające, nie trafią one do firmy Microsoft, Google czy Apple, ale bezpośrednio na serwer należący do cyberprzestępcy. Zobacz, jak to wygląda.

Po czym rozpoznać, że okno logowania jest fałszywe?

Chociaż okno logowania nie wygląda podejrzanie, można zidentyfikować jego prawdziwą naturę.

Prawdziwe okna logowania są oknami przeglądarki: możesz je zmaksymalizować i zminimalizować oraz przenieść w dowolne miejsce na ekranie. Fałszywe okna podręczne są powiązane ze stroną, na której się znajdują. Mogą również swobodnie poruszać się i zakrywać przyciski i obrazy, ale tylko w obrębie okna przeglądarki; nie można ich przesunąć poza jej granice. Ta różnica powinna pomóc ci je rozpoznać.

Aby sprawdzić, czy widoczny na ekranie formularz logowania jest fałszywy:

• Zminimalizuj okno przeglądarki, które wywołało formularz logowania. Jeśli on również zniknie, oznacza to, że jest fałszywy. Prawdziwe okno powinno pozostać na ekranie.
• Spróbuj przenieść okno logowania poza granicę okna nadrzędnego. Prawdziwe okno z łatwością umieścisz w innym miejscu, a fałszywe będzie ograniczone do okna przeglądarki.

Jeśli okno z formularzem logowania minimalizuje się z drugim oknem, zatrzymuje się pod paskiem adresu lub znika pod nim — jest fałszywe i nie wolno wprowadzać na nim swoich danych uwierzytelniających.

Czy istnieje łatwiejszy sposób na zapewnienie sobie ochrony?

Atak nie jest tak niebezpieczny, jak może się wydawać. Chociaż człowiekowi może być trudno go wykryć, z pomocą może przyjść komputer. Bez względu na to, co znajduje się w skrypcie niebezpiecznej strony, prawdziwy adres pozostaje taki sam — i to właśnie ma kluczowe znaczenie dla produktu zabezpieczającego.

• Używaj menedżera haseł dla wszystkich swoich kont. Weryfikuje on adres strony i nigdy nie wprowadzi Twoich danych logowania w polach należących do nieznanej strony internetowej, bez względu na to, że jest ona łudząco podobna do legalnej.
• Zainstaluj solidne rozwiązanie zabezpieczające z modułem antyphishingowym. Zweryfikuje ono adres URL i natychmiast wyświetli ostrzeżenie, jeśli strona jest niebezpieczna.

I oczywiście pamiętaj o stosowaniu uwierzytelniania dwuskładnikowego. Włącz je wszędzie tam, gdzie masz taką możliwość — także we wszystkich sieciach społecznościowych. Gdy ktoś ukradnie Twoje dane uwierzytelniające, osoba ta nie będzie mogła uzyskać dostępu do Twojego konta bez podania jednorazowego kodu, który zostanie wysłany do Ciebie.

Jeśli chcesz w dodatkowy sposób zabezpieczyć dostęp do swoich cennych kont, skorzystaj z tokenów sprzętowych U2F (najbardziej znany jest YubiKey). System ten sprawdza nie tylko adres strony internetowej, ale także to, czy zna klucz szyfrowania. W rezultacie przejście przez taki system uwierzytelniania, nawet jeśli oryginalna strona i jej kopia wyglądają identycznie, jest niemożliwe.