Chrome | Phishing

Přihlašujete se k webům skrze Google a další? Tak to pozor na phishingový útok BITB

Přihlašujete se k webům skrze Google a další? Tak to pozor na phishingový útok BITB

Bezpečnostní expert mr.d0x se na svém webu pochlubil, jak by šlo ještě více vylepšit phishingové útoky – tentokrát zaměřené na přihlašování k webům skrze cizí autority. Třeba Google, Facebook, GitHub, Twitter a další systémy na protokolu OAuth.

Všichni to známe. Načtete web XYZ a namísto zdlouhavé tvorby účtu klepnete na tlačítko pro rychlé přihlášení skrze některý z výše jmenovaných ekosystémů. Mr.d0xův postup spoléhá na to, že jakmile se zobrazí přihlašovací dialog podobné autority, už mu povětšinou bezmezně věříme.

Klepněte pro větší obrázekKlepněte pro větší obrázek
Takto vypadá legitimní přihlašování do služby Zerotier skrze účet Google 

Vytvořil proto demo BITB – Browser In The Browser, které pomocí běžného HMTL, CSS a Javascriptu uvnitř stávajícího okna nasimuluje další vnořené okno prohlížeče. K dispozici jsou šablony pro Chrome na Windows a MacOS v tmavém i světlém režimu.

Klepněte pro větší obrázek
A toto je jeho phishingová verze pomocí BITB. Sekundární okno s formulářem je ve skutečnosti jen HTML, CSS a Javascript. Dali byste ruku do ohně, že se nenapálíte?

Záškodník tímto způsobem může vyvolat situaci, kdy se nad základní stránkou zobrazí další a zdánlivě důvěryhodné okno prohlížeče s adresním řádkem, ve kterém bude svítit dokonce i ikonka zámečku potvrzující důvěryhodnou doménu. Okénkem lze posouvat sem a tam, no a uvnitř se už zobrazí klasický přihlašovací formulář.

Přitom je to všechno jen HTML kód útočníka včetně zkopírovaného formuláře z webu Googlu. Jakmile tedy kdokoliv z nepozornosti vyplní přihlašovací údaje, už je v pasti.

Ukázka v praxi:

Phishing nemusí prolamovat systém – nemusí útočit na žádný konkrétní program a OS. Tím, na co útočí, je totiž naše vlastní psychika a nepozornost.

Není tedy divu, že to jsou právě sofistikovanější praktiky phishingu – tzv. spear phishing –, které dnes otevírají útočníkům vrátka do systému zdaleka nejčastěji. Prostě jim ta přihlašovací jména a hesla dáme zcela dobrovolně, a teprve pak zaútočí nějaký skutečný malware. 

Diskuze (6) Další článek: Ve městech se evoluce rostlin i živočichů ubírá zvláštními cestami. Změny mohou být zběsile rychlé

Témata článku: Windows, Google, Facebook, Twitter, Hacking, Chrome, Malware, GitHub, Phishing, Javascript, Podvod, BITB, Pozor, HTML, Bezpečnostní expert, HMTL, Okno, Phishingový útok



Sex manželských párů? Jen výjimečně. Ložnice ovládnou roboti s umělou inteligencí

Sex manželských párů? Jen výjimečně. Ložnice ovládnou roboti s umělou inteligencí

** Sex manželských párů jen při zvláštních příležitostech. ** Ložnice ovládnou sexuální roboti s umělou inteligencí. ** I to je jeden ze závěrů Mezinárodní robotické konference.

Filip KůželJiří Liebreich
RobotiSexUmělá inteligence
Velký srovnávací test herních klávesnic. Použitelnou seženete pod tisíc, nejlepší stojí 4× tolik

Velký srovnávací test herních klávesnic. Použitelnou seženete pod tisíc, nejlepší stojí 4× tolik

Mechanické klávesnice nejsou jen doménou hráčů. S klesajícími cenami si je můžete pořídit i jako spolehlivé a pohodlné pracovní modely. Otestovali jsme jich hned osm v cenovém rozpětí 1 000–3 500 Kč.

Stanislav Janů
Srovnávací testGamingKlávesnice
25 nejlepších filmových parodií, které můžete vidět. Víme, kde je najdete online

25 nejlepších filmových parodií, které můžete vidět. Víme, kde je najdete online

Filmové parodie jsou divácky velmi vděčné a mezi filmaři oblíbené. Tvůrci v nich mohou totiž zcela beztrestně vykrádat cizí díla a v jejich nápodobě popustit uzdu své fantazii. Vybrali jsme nejlepší zahraniční i české parodie.

Jaromír PukMarek Čech
Filmy, které musíte vidět
Studie sledovala přesnost chytrých hodinek. V měření kalorií jsou prakticky nepoužitelné

Studie sledovala přesnost chytrých hodinek. V měření kalorií jsou prakticky nepoužitelné

** Chytré hodinky dnes změří spoustu věcí, přeností ale někdy pokulhávají ** Studie se zaměřila na měření spálených kalorií ** Výsledky pro žádné z hodinek nedopadly dobře

Martin Miksa
MěřeníChytré hodinkyApple Watch
Munice ze zrušeného railgunu se postaví střelám s plochou dráhou letu

Munice ze zrušeného railgunu se postaví střelám s plochou dráhou letu

** Americké letectvo chce v nejbližší době postavit a otestovat prototyp nového samohybného děla ** To by mělo být schopné sestřelovat střely s plochou dráhou letu ** Při tom bude využívat munici určenou původně pro railgun

Stanislav Mihulka
VojenstvíUSA
Světu hrozí „vlhká žárovka.“ Měla dorazit až v polovině století, ale už je tu

Světu hrozí „vlhká žárovka.“ Měla dorazit až v polovině století, ale už je tu

** Nejteplejší místo na Zemi nemusí být to nejnebezpečnější ** Největším zabijákem se stane až mix tepla a vlhkosti ** Asie se nebezpečně přiblížila hraniční hodnotě 35 °C twb

Jakub Čížek
MeteorologieGlobální oteplování
Speciál o 3D tisku: Co, jak a z čeho tiskneme figurky pro deskovky i venkovní konstrukce

Speciál o 3D tisku: Co, jak a z čeho tiskneme figurky pro deskovky i venkovní konstrukce

** Dnes si budeme povídat o 3D tisku ** Oba totiž tiskneme na stereolitografii a strunové klasice ** S čím jsme zápasili, když jsme se to učili

Jakub ČížekVladislav Kluska
Týden ŽivěVideo