Найден способ кражи логинов и паролей, от которого нет спасения

ГлавнаяНовостиНовостиНовости, 202203Новости, 202203 → Найден способ кражи логинов и паролей, от которого нет спасения
КиТ :: Будь в СЕТИ!

На GitHub опубликованы шаблоны для проведения атаки «Браузер-в-браузере», которая позволяет выводить убедительно выглядящие окна для перехвата реквизитов доступа. Атаки тем самым чрезвычайно упростились, а отбиться от них весьма сложно.

P.c{font-size:75%;text-align:right;}img{border:0;padding:1px;}table{display:table;border-spacing:10px;}td{display:table-cell;padding:10px;vertical-align:top;}.content img{float:right;}.hidden_block{display:none;}

Окно в окне

Эксперт по безопасности известный под ником mr.dox, опубликовал на GitHub код фишингового инструмента, который позволяет создавать фальшивые окна браузера Chrome. Его назначение - перехватывать реквизиты доступа к онлайн-ресурсам.

При входе на многие сайты, вместо прямой регистрации на них, можно залогиниться с помщью аккаунтов в соцсетях или Google, Microsoft, Apple и даже Steam. Такую опцию, например, предлагает Dropbox.

При атаке всплывает новое окно с формой ввода реквизитов. В нём может отображаться URL-адрес, но его нельзя изменить. Эта строка используется для того, чтобы удостовериться в подлинности формы логина.

Для хакеров и пентестеров

Хакеры многократно пытались использовать поддельные окна логина (Single Sign-On) - с помощью HTML, CSS, JavaScript, - однако, как правило, эти окна выглядели подделкой, способной обмануть только самых неопытных пользователей.

Однако новая атака, получившая название «Браузер-в-браузере», позволяет выводить окна регистрации, которые совершенно неотличимы от настоящих. Хакерам (или пентестерам) достаточно будет отредактировать в составленных mr.dox шаблонах только URL и название окна (поле title) и создать iframe, который выведет это окно.

HTML-код для формы логина можно встроить прямиком в шаблон, однако, как заявил mr.dox, потребуется правильно расположить соответствующее поле с помощью CSS и HTML. Это, впрочем, вряд ли сильно усложнит задачу.

Эксперт по информационной безопасности Кьюба Грецки (Kuba Gretzky), создатель другого фишингового набора Evilginx, убедился в совместимости своей разработки с тем, что сделал mr.dox; в комбинации эти два фишинговых набора можно использовать для перехвата ключей двухфакторной авторизации.

«Защититься от такой атаки будет предельно сложно, - говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. - Сам разработчик указывает, что она ориентирована на пентестеров, но совершенно очевидно, что в ближайшее время её уже задействуют в реальных атаках. Единственной мерой предосторожности будет - знать о возможности таких атак и трижды проверять, куда вы вводите свои реквизиты доступа. Стоит, правда, отметить, что методика не будет работать при использовании ПО для автозаполнения паролей, в том числе встроенного в браузер: оно сразу определит, что окно поддельное».

Сама по себе методика таких атак не нова, утверждает mr.dox. По его словам, её уже с переменным успехом применяли создатели фальшивых сайтов для геймеров, чтобы красть реквизиты доступа.

KiT - Keep-inTouch :: vkontakteKiT - Keep-inTouch :: odnoklassnikiKiT - Keep-inTouch :: mailRuKiT - Keep-inTouch :: livejournalKiT - Keep-inTouch :: telegramKiT - Keep-inTouch :: viberKiT - Keep-inTouch :: whatsappKiT - Keep-inTouch :: RSS-лента
Группы: ВК|OK
Рубрики
Рубрики (доп.)
Каталог
Новости
Контакты
/*Выпадайка рубрик справа/внизу*/.advert ul,.content ul{list-style:none;}.rubcontent{border-radius:5px 10px 0 0;border:1px solid #542437;padding:1px;}.cd-accordion-menu li,.list_menu_compact li{padding:0;margin-left:10px;}.hidden,label+ .cd-accordion-menu,.cd-accordion-menu ul,.hidden:checked+label .equiv{display:none;}.hidden:checked+label+ul,.hidden:checked+label .trigramma{display:inline;}@media (min-width:801px){/*Моб.меню-скрыть*/#mob_menu{display:none;}/*Новости-анонс*/#phablet td{display:block;}}
ГлавнаяНовостиНовостиНовости, 202203Новости, 202203 → Найден способ кражи логинов и паролей, от которого нет спасения