"Browser in the Browser" támadások - új és pusztító adathalász technika

Megjelent és tarol a Browser in the Browser (BITB) nevű adathalász technika, amely már kormányzati szerveket, köztük Ukrajnát is célba vette. Tudja meg, hogyan védekezhet ez ellen az új fenyegetés ellen!

A hitelesítő adatok, jelszavak iránti adathalászat gyakori fenyegetés, évek óta létezik. Különböző social engineering technikákat használ arra, hogy rávegye a gyanútlan felhasználót, hogy kattintson egy linkre vagy nyisson meg egy dokumentumot, és adja meg a hitelesítő adatait, amelyek aztán a közvetlenül támadóknál landolnak. Most egy új adathalász technikát leplezett le nemrégiben egy "mr.d0x" néven ismert behatolástesztelő és biztonsági kutató a weboldalán.

Mik azok a BITB-támadások?

A böngésző a böngészőben támadások abból állnak, hogy egy böngészőablakot szimulálnak a böngészőn belül, hogy egy legitim tartományt meghamisítsanak. A támadás az Single Sign-On (SSO) lehetőségét használja ki, amelyet nagyon sokan használnak, hogy számos különböző webhelyre jelentkezzenek be ugyanazzal - pl. Facebook, vagy Google - jelszóval. Az elv meglehetősen egyszerű: A felhasználó csatlakozik egy weboldalhoz, amely viszont megnyit egy új böngészőablakot, amely a Google, az Apple, a Microsoft vagy más harmadik fél hitelesítő adatait kéri, hogy a felhasználó bejelentkezhessen (A ábra). Ez azért kényelmes a felhasználó számára, mert nem kell újabb és újabb jelszavakat kreálnia megjegyeznie a weboldalakra való bejelentkezéshez.

A. ábra - pl. Zendesk bejelentkezés különböző SSO-kkal

Ez az a pont, ahol a BITB-támadás a képbe kerül. A BITB-támadás során a felhasználónak egy csalárd felugró ablakot kínálnak, amely az SSO jelszavát kéri. A fő különbség a szokásos adathalász esethez képest abban rejlik, hogy az ablak bármilyen URL-t megjeleníthet, akár egy legitim URL-t is (B. ábra).

Google’s Threat Analysis Group (TAG) image

B. ábra - Példa a hitelesítő adatokkal való adathalász céloldalak elhelyezésére veszélyeztetett webhelyeken - forrás: Google’s Threat Analysis Group (TAG)

A trükk jól működik. Az emberek annyira hozzászoktak ehhez a hitelesítési modellhez, hogy már nem igazán figyelnek rá, és csak beírják a hitelesítő adataikat a bejelentkezéshez.

Hogyan működik?

Ebben a támadásban, a szokásos adathalászathoz hasonlóan, a fenyegető szereplőnek először egy rosszindulatú vagy veszélyeztetett oldalra kell rávezetnie a felhasználót. Ahhoz, hogy a felhasználót a csalárd oldalra csábítsák, a támadók általában e-mailben vagy valamilyen üzenetküldő (chat) szoftveren keresztül küldenek linkeket. Ez az oldal egy iframe-et tartalmaz, amely az adathalászoldalt fogadó rosszindulatú szerverre mutat.

JavaScript-kód segítségével a felugró oldal megjelenhet egy hivatkozáson, gombon vagy oldalbetöltő képernyőn. A JavaScript azt is lehetővé teszi, hogy a támadó bármilyen URL-t megjelenítsen a felugró ablakhoz.

Az "mr.d0x" szerint "ha egyszer a támadó tulajdonában lévő weboldalon landolt, a felhasználó megnyugodva gépeli be a hitelesítő adatait a legitimnek tűnő weboldalon (mert a megbízható URL ezt sugallja).

DEMO: hogy mennyire könnyű megbízhatónak tűnő URL-t megjeleníteni.

Kattintson a gombra, természetesen nem kell semmilyen adatot megadni!

Ez már javában használt támadási technika a vad keleten.

A Google fenyegetéselemző csoportja (TAG) jelentett egy új támadási kampányt az ismert Ghostwriter hacker csoport akcióiról. A hacker csapat Fehéroroszországból (Belarus) származik, és BITB-támadásokat hajtott végre, az adathalász oldalakat pedig egy kompromittált weboldalon tárolták. Miután a felhasználó megadja a hitelesítő adatait, a támadó által irányított távoli kiszolgálóra küldik. A Ghostwriter által a közelmúltban megfigyelt adathalász-tartományok közül néhány Ukrajnára összpontosít.

Gyanítjuk, hogy sokkal több fenyegető szereplő fogja villámgyorsan adaptálni és aktívan használni ezt az új technikát a támadási kampányaikban.

Javaslataink

Ésszerűtlennek tűnik, hogy a felhasználóktól azt kérjük, hogy ne használják többé az SSO-t. Megszokták, és a legtöbb esetben tökéletesen működik is. A többfaktoros hitelesítés (MFA, pl. SMS kód) hozzáadása kiváló módja az SSO-hitelesítés biztonságának javítására, ugyanakkor a támadók még mindig megkerülhetik azt, például rosszindulatú szoftverek segítségével. Ha az adathalász esetek biztonságának növeléséről van szó, a legjobb MFA-megoldások a külső hardvereszközök, tokenek.

A jelszókezelők (jelszómenedzserek) használata szintén segíthet a BITB-támadások sajátos esetében. Mivel az adathalász oldal valójában nem egy valódi böngészőablak, az automatikus kitöltési lehetőséggel rendelkező jelszómenedzserek esetleg nem reagálnak rájuk, és figyelmeztetik a felhasználót, aki csodálkozik, hogy miért nem működik az automatikus kitöltés funkció.

A BITB-támadások elkerülésének legjobb módjai tulajdonképpen ugyanazok, mint a szokásos adathalászat esetében. A felhasználóknak nem szabad ismeretlen forrásból e-mailben vagy azonnali üzenetküldő szoftveren keresztül érkező linkekre vagy csatolt fájlokra kattintaniuk. Ha kétségeik vannak egy legitimnek tűnő szervezettől vagy kollégától érkező e-maillel kapcsolatban, a felhasználónak fel kell hívnia és meg kell győződnie arról, hogy valóban ő volt a feladó, és hogy a megosztott link vagy fájl biztonságos.

Adathalászat elleni megoldásokat is be kell vezetni és használni kell. Ha lehetséges, ezeknek a megoldásoknak lehetővé kell tenniük, hogy a felhasználó könnyen jelenthesse az informatikai részlegnek vagy akár az adathalászat-ellenes szervezeteknek.