Prohlížeč v prohlížeči: Na promyšlený internetový útok naletí i zkušení IT experti

Chytrá bezpečnost, Chytré návody, Chytré zprávy| Žádné komentáře|

Phishing, tedy forma útoku, kdy se narušitel snaží z oběti získat citlivá data je běžnou hrozbou, která existuje mnoho let. Využívá různé techniky sociálního inženýrství, aby přesvědčila nic netušícího uživatele k poskytnutí přihlašovacích a platebních údajů, které útočník sbírá. Nyní se objevila zcela nová technika, kterou dost možná neodhalí ani IT experti, a tak i oni mohou „naletět“.

I přes všechny různé ochranné systémy by dnes každý uživatel využívající internet měl být ve střehu. V případě surfování a dvojnásob při klikání na odkazy či přesměrování na jiné webové stránky, je vhodné si nejprve zkontrolovat správnost URL adresy – tedy, zda např. místo na google.com se neobjevil na googlle.com. „Pouze jedno jediné jiné písmenko může zadělat na velké problémy. Obě stránky mohou vypadat zcela stejně. Ovšem jen jedna je pravá. Ta druhá bude dost možná podvržená a má za cíl formou phishingu z uživatele vylákat osobní data,“ prozrazuje Martin Lohnert, specialista pro oblast kyberbezpečnosti v technologické společnosti Soitron.

Jakmile si je uživatel jistý, že je na správné adrese, potom by měl ještě zkontrolovat, zda se před adresou nachází ikona zámku (URL webu zobrazuje https, což znamená, že web je zabezpečen TLS/SSL šifrováním). Tím browser uživateli dává na vědomí, že komunikace s webem je zabezpečena. K těmto kontrolním krokům je od teď nutné přidat ještě jeden nový.

V článku najdete: skrýt

Browser-in-the-browser: Téměř nezjistitelný phishing

Nová technika phishingu zvaná browser-in-the-browser (BitB) útok, kterou popsal penetrační tester mr.d0x, využívá k simulaci vyskakovací okno internetového prohlížeče v prohlížeči. Zejména jde o okna pro jednotné přihlášení třetích stran (tzv. SSO).

V současné době není výjimkou, kdy uživatel k ověření své identity na nějaké webové stránce, službě či e-shopu, využije svůj již existující účet u Google, Microsoftu, Apple, Facebooku atd. Prostřednictvím vyskakovacího okna „Přihlásit se přes…“ nemusí stále dokola zakládat nové účty. Avšak zfalšováním tohoto okna, respektive legitimní domény, je možné připravit přesvědčivý phishingový útok.

Jak snadné je vytvořit identické okno

Zatímco výchozím chováním webové stránky při pokusu uživatele o přihlášení pomocí SSO metody k dokončení procesu ověřování je uvítání vyskakovacím oknem, útok BitB má za cíl replikovat celý tento proces pomocí kombinace HTML kódu a CSS stylu, a tak vytvořit zcela podvržené identické okno prohlížeče. „Zkombinovaný design okna s iframe prvkem, který ukazuje na škodlivý server hostující phishingovou stránku, je v podstatě k nerozeznání od toho pravého,“ uvádí mr.d0x.

Obrázek: Prohlížeč v prohlížeči: Na promyšlený internetový útok naletí i zkušení IT experti

Jen velmi málo uživatelů si všimne nepatrných rozdílů mezi těmito dvěma okny. Vlevo podvrh, vpravo pravé okno Facebooku. Zdroj: Se souhlasem mr.d0x

Ochrana před škodlivým falešným vyskakovacím oknem

Jakmile uživatel vyplní přihlašovací údaje – nejčastěji jméno, nebo e-mail, případně telefonní číslo a zadá heslo – má zaděláno na problém, protože je nevědomky „vyzradí“. K jejich zneužití nemusí dojít okamžitě, ale informace jsou uloženy do databáze útočníka a ta spolu s jinými obratem nabídnuta k prodeji. Přihlašovací údaje tak zneužije až následný kupující.

„Ochranou proti tomuto typu útoku je kromě kontroly URL, tedy toho, zda se skutečně nacházíme na správném webu a zda je komunikace šifrována to, že okno pro jednotné přihlášení uchopíme a zkusíme posunout mimo aktuálně načtenou webovou stránku. Pokud se to podaří, je vše v pořádku. Pokud nikoliv, jde o JavaScriptové okno, které je podvrženo. Do něj přihlašovací údaje nikdy nevyplňujte,“ dodává závěrem Martin Lohnert.

Obrázek: Prohlížeč v prohlížeči: Na promyšlený internetový útok naletí i zkušení IT experti

Podvodníci sahají po nových metodách. Některé jsou i přes svou jednoduchost nesmírně efektivní. Foto: Unsplash

O autorovi

Redakce inSmart

Redakci inSmart.cz tvoří redaktoři předních technologických magazínů z ČR. Držíme krok s dobou chytrých technologií. Svět hloupne, zůstaňte smart!

Odebírat
Upozornit na
guest
0 Komentářů
nejstarší
nejnovější nejlépe hodnocené
Inline Feedbacks
View all comments

Příbuzné příspěvky

Obrázek: Vědci vygenerovali elektřinu díky rotaci Země. 17 mikrovoltů je extrémně málo, i tak může jít o revoluci
Vědci vygenerovali elektřinu díky rotaci Země. 17 mikrovoltů je extrémně málo, i tak může jít o revoluci
Obrázek: Vědci vyvinuli první operační systém pro kvantové sítě
Vědci vyvinuli první operační systém pro kvantové sítě
Obrázek: Displeje ohebné či natahovací? Z mnoha konceptů se do reálu podívá jen hrstka
Displeje ohebné či natahovací? Z mnoha konceptů se do reálu podívá jen hrstka
Obrázek: Na vlastní oči: Je displej v kontaktních čočkách budoucnost, nebo past na investory?
Na vlastní oči: Je displej v kontaktních čočkách budoucnost, nebo past na investory?
Obrázek: Další krabičku nepotřebujete: Překladač do kapsy zdarma nahradíte mobilním telefonem
Další krabičku nepotřebujete: Překladač do kapsy zdarma nahradíte mobilním telefonem
Obrázek: Vyzdobte si chaty ve WhatsAppu: Nová funkce udělá vaši komunikaci zábavnější a přehlednější
Vyzdobte si chaty ve WhatsAppu: Nová funkce udělá vaši komunikaci zábavnější a přehlednější
Obrázek: Podvod s investicemi aneb Jak jsem podvodníkům poslal peníze a nechal se dobrovolně okrást
Podvod s investicemi aneb Jak jsem podvodníkům poslal peníze a nechal se dobrovolně okrást
Obrázek: Větrák na topení ušetří za energie a zrychlí vyhřátí místnosti: Lidé objevují nový trik s PC ventilátorem
Větrák na topení ušetří za energie a zrychlí vyhřátí místnosti: Lidé objevují nový trik s PC ventilátorem