Prohlížeč v prohlížeči: Na promyšlený internetový útok naletí i zkušení IT experti

Phishing, tedy forma útoku, kdy se narušitel snaží z oběti získat citlivá data je běžnou hrozbou, která existuje mnoho let. Využívá různé techniky sociálního inženýrství, aby přesvědčila nic netušícího uživatele k poskytnutí přihlašovacích a platebních údajů, které útočník sbírá. Nyní se objevila zcela nová technika, kterou dost možná neodhalí ani IT experti, a tak i oni mohou „naletět“.

I přes všechny různé ochranné systémy by dnes každý uživatel využívající internet měl být ve střehu. V případě surfování a dvojnásob při klikání na odkazy či přesměrování na jiné webové stránky, je vhodné si nejprve zkontrolovat správnost URL adresy – tedy, zda např. místo na google.com se neobjevil na googlle.com. „Pouze jedno jediné jiné písmenko může zadělat na velké problémy. Obě stránky mohou vypadat zcela stejně. Ovšem jen jedna je pravá. Ta druhá bude dost možná podvržená a má za cíl formou phishingu z uživatele vylákat osobní data,“ prozrazuje Martin Lohnert, specialista pro oblast kyberbezpečnosti v technologické společnosti Soitron.

Jakmile si je uživatel jistý, že je na správné adrese, potom by měl ještě zkontrolovat, zda se před adresou nachází ikona zámku (URL webu zobrazuje https, což znamená, že web je zabezpečen TLS/SSL šifrováním). Tím browser uživateli dává na vědomí, že komunikace s webem je zabezpečena. K těmto kontrolním krokům je od teď nutné přidat ještě jeden nový.

Browser-in-the-browser: Téměř nezjistitelný phishing

Nová technika phishingu zvaná browser-in-the-browser (BitB) útok, kterou popsal penetrační tester mr.d0x, využívá k simulaci vyskakovací okno internetového prohlížeče v prohlížeči. Zejména jde o okna pro jednotné přihlášení třetích stran (tzv. SSO).

V současné době není výjimkou, kdy uživatel k ověření své identity na nějaké webové stránce, službě či e-shopu, využije svůj již existující účet u Google, Microsoftu, Apple, Facebooku atd. Prostřednictvím vyskakovacího okna „Přihlásit se přes…“ nemusí stále dokola zakládat nové účty. Avšak zfalšováním tohoto okna, respektive legitimní domény, je možné připravit přesvědčivý phishingový útok.

Jak snadné je vytvořit identické okno

Zatímco výchozím chováním webové stránky při pokusu uživatele o přihlášení pomocí SSO metody k dokončení procesu ověřování je uvítání vyskakovacím oknem, útok BitB má za cíl replikovat celý tento proces pomocí kombinace HTML kódu a CSS stylu, a tak vytvořit zcela podvržené identické okno prohlížeče. „Zkombinovaný design okna s iframe prvkem, který ukazuje na škodlivý server hostující phishingovou stránku, je v podstatě k nerozeznání od toho pravého,“ uvádí mr.d0x.

Obrázek: Prohlížeč v prohlížeči: Na promyšlený internetový útok naletí i zkušení IT experti

Jen velmi málo uživatelů si všimne nepatrných rozdílů mezi těmito dvěma okny. Vlevo podvrh, vpravo pravé okno Facebooku. Zdroj: Se souhlasem mr.d0x

Ochrana před škodlivým falešným vyskakovacím oknem

Jakmile uživatel vyplní přihlašovací údaje – nejčastěji jméno, nebo e-mail, případně telefonní číslo a zadá heslo – má zaděláno na problém, protože je nevědomky „vyzradí“. K jejich zneužití nemusí dojít okamžitě, ale informace jsou uloženy do databáze útočníka a ta spolu s jinými obratem nabídnuta k prodeji. Přihlašovací údaje tak zneužije až následný kupující.

„Ochranou proti tomuto typu útoku je kromě kontroly URL, tedy toho, zda se skutečně nacházíme na správném webu a zda je komunikace šifrována to, že okno pro jednotné přihlášení uchopíme a zkusíme posunout mimo aktuálně načtenou webovou stránku. Pokud se to podaří, je vše v pořádku. Pokud nikoliv, jde o JavaScriptové okno, které je podvrženo. Do něj přihlašovací údaje nikdy nevyplňujte,“ dodává závěrem Martin Lohnert.

Obrázek: Prohlížeč v prohlížeči: Na promyšlený internetový útok naletí i zkušení IT experti

Podvodníci sahají po nových metodách. Některé jsou i přes svou jednoduchost nesmírně efektivní. Foto: Unsplash

Odebírat
Upozornit na
guest
0 Komentářů
Inline Feedbacks
View all comments
Obrázek: Letadla bez pilotů: Airbus sází na umělou inteligenci
Letadla bez pilotů: Airbus sází na umělou inteligenci
Obrázek: Česká umělá inteligence dobývá vesmír. Analyzovat satelitní snímky dokáže i mimo Zemi
Česká umělá inteligence dobývá vesmír. Analyzovat satelitní snímky dokáže i mimo Zemi
Obrázek: Kvalitativní vs. kvantitativní analytika aneb proč je důležité mít obojí
Kvalitativní vs. kvantitativní analytika aneb proč je důležité mít obojí
Obrázek: Telefon s tabletem uvnitř: Nový Galaxy Z Fold4 je levnější a výkonnější
Telefon s tabletem uvnitř: Nový Galaxy Z Fold4 je levnější a výkonnější
Obrázek: Přečtěte si příchozí zprávu, aniž by to kdokoliv věděl
Přečtěte si příchozí zprávu, aniž by to kdokoliv věděl
Obrázek: Jak zmizet z internetu beze stopy?
Jak zmizet z internetu beze stopy?
Obrázek: Preferujete kancelář? Jak na práci z domova, i když ji nechcete
Preferujete kancelář? Jak na práci z domova, i když ji nechcete
Obrázek: Jak přenést WhatsApp do nového telefonu? S Googlem i bez něj
Jak přenést WhatsApp do nového telefonu? S Googlem i bez něj