Princípios importantes
- Um pesquisador de segurança criou uma maneira de criar pop-ups de login de logon único muito convincentes, mas falsos.
- Os pop-ups falsos usam URLs legítimos para parecerem genuínos.
- O truque demonstra que as pessoas que usam apenas senhas terão suas credenciais roubadas mais cedo ou mais tarde, alertam os especialistas.
Navegar na web está ficando mais complicado a cada dia.
A maioria dos sites hoje em dia oferece várias opções para criar uma conta. Você pode se registrar no site ou usar o mecanismo de logon único (SSO) para fazer login no site usando suas contas existentes com empresas respeitáveis como Google, Facebook ou Apple. Um pesquisador de segurança cibernética aproveitou isso e criou um novo mecanismo para roubar suas credenciais de login criando uma janela de login SSO falsa praticamente indetectável.
"A crescente popularidade do SSO oferece muitos benefícios para [as pessoas]", Scott Higgins, Diretor de Engenharia da Dispersive Holdings, Inc disse à Lifewire por e-mail. "No entanto, hackers inteligentes estão agora aproveitando essa rota de uma maneira engenhosa."
Login falso
Tradicionalmente, os invasores empregam táticas como ataques homógrafos que substituem algumas das letras no URL original por caracteres de aparência semelhante para criar novos URLs maliciosos difíceis de detectar e páginas de login falsas.
No entanto, essa estratégia geralmente desmorona se as pessoas examinarem cuidadosamente a URL. O setor de segurança cibernética há muito aconselha as pessoas a verificar a barra de URL para garantir que ela liste o endereço correto e tenha um cadeado verde ao lado, o que indica que a página da Web é segura.
"Tudo isso acabou me levando a pensar, é possível tornar o conselho 'Verifique o URL' menos confiável? Após uma semana de brainstorming, decidi que a resposta é sim", escreveu o pesquisador anônimo que usa o pseudônimo, sr.d0x.
O ataque que o mr.d0x criou, chamado browser-in-the-browser (BitB), usa os três blocos de construção essenciais da web-HTML, folhas de estilo em cascata (CSS) e JavaScript-para criar um falso Janela pop-up de SSO que é essencialmente indistinguível da real.
"A barra de URL falsa pode conter o que quiser, até mesmo locais aparentemente válidos. Além disso, as modificações de JavaScript fazem com que passar o mouse sobre o link ou o botão de login também mostre um destino de URL aparentemente válido ", acrescentou Higgins depois de examinar o sr. mecanismo de d0x.
Para demonstrar o BitB, mr.d0x criou uma versão falsa da plataforma online de design gráfico, Canva. Quando alguém clica para fazer login no site falso usando a opção SSO, o site exibe a janela de login criada pelo BitB com o endereço legítimo do provedor de SSO falsificado, como o Google, para enganar o visitante a inserir suas credenciais de login, que são então enviado para os atacantes.
A técnica impressionou vários desenvolvedores web. "Ah, que nojento: Browser In The Browser (BITB) Attack, uma nova técnica de phishing que permite roubar credenciais que até mesmo um profissional da web não consegue detectar", escreveu François Zaninotto, CEO da empresa de desenvolvimento web e móvel Marmelab, no Twitter.
Olhe onde você está indo
Embora o BitB seja mais convincente do que as janelas de login falsas comuns, Higgins compartilhou algumas dicas que as pessoas podem usar para se proteger.
Para começar, apesar da janela pop-up do BitB SSO parecer um pop-up legítimo, na verdade não é. Portanto, se você pegar a barra de endereço deste pop-up e tentar arrastá-lo, ele não irá além da borda da janela principal do site, ao contrário de uma janela pop-up real que é completamente independente e pode ser movida para qualquer parte da área de trabalho.
Higgins compartilhou que testar a legitimidade da janela SSO usando esse método não funcionaria em um dispositivo móvel."É aqui que [autenticação multifator] ou o uso de opções de autenticação sem senha podem realmente ser úteis. Mesmo se você fosse vítima do ataque BitB, [os golpistas] não seriam necessariamente capazes de [usar suas credenciais roubadas] as outras partes de uma rotina de login MFA ", sugeriu Higgins.
A internet não é nossa casa. É um espaço público. Devemos verificar o que estamos visitando.
Além disso, como é uma janela de login falsa, o gerenciador de senhas (se você estiver usando um) não preencherá automaticamente as credenciais, novamente dando uma pausa para detectar algo errado.
Também é importante lembrar que, embora o pop-up BitB SSO seja difícil de detectar, ele ainda deve ser iniciado a partir de um site malicioso. Para ver um pop-up como esse, você já teria que estar em um site falso.
É por isso que, fechando o círculo, Adrien Gendre, Chief Tech and Product Officer da Vade Secure, sugere que as pessoas devem olhar para os URLs toda vez que clicarem em um link.
"Da mesma forma que verificamos o número na porta para garantir que acabamos no quarto de hotel certo, as pessoas devem sempre dar uma olhada rápida nos URLs ao navegar em um site. A Internet não é nossa casa. É um espaço público. Devemos verificar o que estamos visitando ", ress altou Gendre.