Prohlížeč v prohlížeči: Na promyšlený internetový útok naletí i zkušení IT experti

Phishing, tedy forma útoku, kdy se narušitel snaží z oběti získat citlivá data je běžnou hrozbou, která existuje mnoho let. Využívá různé techniky sociálního inženýrství, aby přesvědčila nic netušícího uživatele k poskytnutí přihlašovacích a platebních údajů, které útočník sbírá. Nyní se objevila zcela nová technika, kterou dost možná neodhalí ani IT experti, a tak i oni mohou „naletět“.

I přes všechny různé ochranné systémy by dnes každý uživatel využívající internet měl být ve střehu. V případě surfování a dvojnásob při klikání na odkazy či přesměrování na jiné webové stránky, je vhodné si nejprve zkontrolovat správnost URL adresy – tedy, zda např. místo na google.com se neobjevil na googlle.com. „Pouze jedno jediné jiné písmenko může zadělat na velké problémy. Obě stránky mohou vypadat zcela stejně. Ovšem jen jedna je pravá. Ta druhá bude dost možná podvržená a má za cíl formou phishingu z uživatele vylákat osobní data,“ prozrazuje Martin Lohnert, specialista pro oblast kyberbezpečnosti v technologické společnosti Soitron.

Jakmile si je uživatel jistý, že je na správné adrese, potom by měl ještě zkontrolovat, zda se před adresou nachází ikona zámku (URL webu zobrazuje https, což znamená, že web je zabezpečen TLS/SSL šifrováním). Tím browser uživateli dává na vědomí, že komunikace s webem je zabezpečena. K těmto kontrolním krokům je od teď nutné přidat ještě jeden nový.

Browser-in-the-browser: Téměř nezjistitelný phishing

Nová technika phishingu zvaná browser-in-the-browser (BitB) útok, kterou popsal penetrační tester mr.d0x, využívá k simulaci vyskakovací okno internetového prohlížeče v prohlížeči. Zejména jde o okna pro jednotné přihlášení třetích stran (tzv. SSO).

V současné době není výjimkou, kdy uživatel k ověření své identity na nějaké webové stránce, službě či e-shopu, využije svůj již existující účet u Google, Microsoftu, Apple, Facebooku atd. Prostřednictvím vyskakovacího okna „Přihlásit se přes…“ nemusí stále dokola zakládat nové účty. Avšak zfalšováním tohoto okna, respektive legitimní domény, je možné připravit přesvědčivý phishingový útok.

Jak snadné je vytvořit identické okno

Zatímco výchozím chováním webové stránky při pokusu uživatele o přihlášení pomocí SSO metody k dokončení procesu ověřování je uvítání vyskakovacím oknem, útok BitB má za cíl replikovat celý tento proces pomocí kombinace HTML kódu a CSS stylu, a tak vytvořit zcela podvržené identické okno prohlížeče. „Zkombinovaný design okna s iframe prvkem, který ukazuje na škodlivý server hostující phishingovou stránku, je v podstatě k nerozeznání od toho pravého,“ uvádí mr.d0x.

Obrázek: Prohlížeč v prohlížeči: Na promyšlený internetový útok naletí i zkušení IT experti

Jen velmi málo uživatelů si všimne nepatrných rozdílů mezi těmito dvěma okny. Vlevo podvrh, vpravo pravé okno Facebooku. Zdroj: Se souhlasem mr.d0x

Ochrana před škodlivým falešným vyskakovacím oknem

Jakmile uživatel vyplní přihlašovací údaje – nejčastěji jméno, nebo e-mail, případně telefonní číslo a zadá heslo – má zaděláno na problém, protože je nevědomky „vyzradí“. K jejich zneužití nemusí dojít okamžitě, ale informace jsou uloženy do databáze útočníka a ta spolu s jinými obratem nabídnuta k prodeji. Přihlašovací údaje tak zneužije až následný kupující.

„Ochranou proti tomuto typu útoku je kromě kontroly URL, tedy toho, zda se skutečně nacházíme na správném webu a zda je komunikace šifrována to, že okno pro jednotné přihlášení uchopíme a zkusíme posunout mimo aktuálně načtenou webovou stránku. Pokud se to podaří, je vše v pořádku. Pokud nikoliv, jde o JavaScriptové okno, které je podvrženo. Do něj přihlašovací údaje nikdy nevyplňujte,“ dodává závěrem Martin Lohnert.

Obrázek: Prohlížeč v prohlížeči: Na promyšlený internetový útok naletí i zkušení IT experti

Podvodníci sahají po nových metodách. Některé jsou i přes svou jednoduchost nesmírně efektivní. Foto: Unsplash

Obrázek: Xiaomi Redmi Note 13 Pro+: Jak fotit jako mistr s telefonem za 10 000 Kč?
Xiaomi Redmi Note 13 Pro+: Jak fotit jako mistr s telefonem za 10 000 Kč?
Obrázek: Jak funguje čínský sociální kredit? Úplně jinak, než jsme si na Západě mysleli
Jak funguje čínský sociální kredit? Úplně jinak, než jsme si na Západě mysleli
Obrázek: Konec manuální práce? Chytré AI kamery od Konica Minolta dostaly ruce
Konec manuální práce? Chytré AI kamery od Konica Minolta dostaly ruce
Obrázek: Rozvíjejte své dovednosti v éře AI: Inspirujte se na květnovém WebExpo 2024
Rozvíjejte své dovednosti v éře AI: Inspirujte se na květnovém WebExpo 2024
Obrázek: Jak koupit Bitcoin v ČR? Návod na bezpečný nákup kryptoměn v roce 2024
Jak koupit Bitcoin v ČR? Návod na bezpečný nákup kryptoměn v roce 2024
Obrázek: Jak rychle nabijete chytrý telefon? Nabíjení Redmi Note 13 Pro+ je rychlejší než vaše ranní káva
Jak rychle nabijete chytrý telefon? Nabíjení Redmi Note 13 Pro+ je rychlejší než vaše ranní káva
Obrázek: Občanka v mobilu od A do Z: Jak nainstalovat a zprovoznit eDoklady?
Občanka v mobilu od A do Z: Jak nainstalovat a zprovoznit eDoklady?
Obrázek: 5 způsobů, jak zjistit zapomenuté heslo K WiFi. Snadno v PC i na mobilu
5 způsobů, jak zjistit zapomenuté heslo K WiFi. Snadno v PC i na mobilu